Apple WebKit 多个高危漏洞安全风险通告
Apple WebKit 是由苹果公司开发的一款开源浏览器引擎,它是 Safari 浏览器的核心组件,也被 Google、Adobe 等公司使用在其产品中。WebKit 引擎采用 C++ 语言编写,支持 HTML、CSS、JavaScript 等 Web 标准,并提供了高性能的渲染和布局引擎,能够快速准确地呈现网页内容。
近日监测到Apple官方发布了多个高危漏洞,包括Apple WebKit 缓冲区溢出漏洞(CVE-2023-32409)、Apple WebKit 释放后重用漏洞(CVE-2023-32373)、Apple WebKit 敏感信息泄露漏洞(CVE-2023-28204)。鉴于这些漏洞影响范围较大,且已发现在野利用,建议客户尽快做好自查及防护。
漏洞名称
Apple WebKit 缓冲区溢出漏洞(CVE-2023-32409)
公开时间
2023-05-18
更新时间
2023-05-19
CVE编号
CVE-2023-32409
其他编号
QVD-2023-11865
威胁类型
代码执行
技术类型
缓冲区溢出
厂商
Apple
产品
WebKit
风险等级
风险评级
风险等级
高危
蓝色(一般事件)
现时威胁状态
POC状态
EXP状态
在野利用状态
技术细节状态
未公开
未公开
已发现
未公开
漏洞描述
由于 WebKit 中存在边界错误,远程攻击者可以诱骗受害者访问特制网页,触发内存损坏并突破 Web 内容沙箱。
影响版本
Safari < 16.5
其他受影响组件
iOS < 15.7.6
tvOS < 16.5
watchOS < 9.5
iPadOS < 15.7.6
macOS Ventura < 13.4
漏洞名称
Apple WebKit 释放后重用漏洞(CVE-2023-32373)
公开时间
2023-05-18
更新时间
2023-05-19
CVE编号
CVE-2023-32373
其他编号
QVD-2023-11867
威胁类型
代码执行
技术类型
释放后重用
厂商
Apple
产品
WebKit
风险等级
风险评级
风险等级
高危
蓝色(一般事件)
现时威胁状态
POC状态
EXP状态
在野利用状态
技术细节状态
未公开
未公开
已发现
未公开
漏洞描述
由于 WebKit 中存在释放后重用错误,远程攻击者可以诱骗受害者访问特制网页,触发此漏洞并在系统上执行任意代码。
影响版本
Safari < 16.5
其他受影响组件
iOS < 15.7.6
tvOS < 16.5
watchOS < 9.5
iPadOS < 15.7.6
macOS Ventura < 13.4
漏洞名称
Apple WebKit 敏感信息泄露漏洞(CVE-2023-28204)
公开时间
2023-05-18
更新时间
2023-05-19
CVE编号
CVE-2023-28204
其他编号
QVD-2023-11866
威胁类型
信息泄漏
技术类型
越界读取
厂商
Apple
产品
WebKit
风险等级
风险评级
风险等级
高危
蓝色(一般事件)
现时威胁状态
POC状态
EXP状态
在野利用状态
技术细节状态
未公开
未公开
已发现
未公开
漏洞描述
WebKit 中存在越界读取错误,远程攻击者可以诱骗受害者访问特制网页,触发此漏洞并读取系统内存的内容。
影响版本
Safari < 16.5
其他受影响组件
iOS < 15.7.6
tvOS < 16.5
watchOS < 9.5
iPadOS < 15.7.6
macOS Ventura < 13.4
威胁评估
漏洞名称
Apple WebKit 缓冲区溢出漏洞(CVE-2023-32409)
CVE编号
CVE-2023-32409
其他编号
QVD-2023-11865
CVSS 3.1评级
高危
CVSS 3.1分数
8.8
CVSS向量
访问途径(AV)
攻击复杂度(AC)
网络
低
所需权限(PR)
用户交互(UI)
无
需要
影响范围(S)
机密性影响(C)
不改变
高
完整性影响(I)
可用性影响(A)
高
高
危害描述
远程攻击者可利用此漏洞在目标系统上执行任意代码。
漏洞名称
Apple WebKit 释放后重用漏洞(CVE-2023-32373)
CVE编号
CVE-2023-32373
其他编号
QVD-2023-11867
CVSS 3.1评级
高危
CVSS 3.1分数
8.8
CVSS向量
访问途径(AV)
攻击复杂度(AC)
网络
低
所需权限(PR)
用户交互(UI)
无
需要
影响范围(S)
机密性影响(C)
不改变
高
完整性影响(I)
可用性影响(A)
高
高
危害描述
远程攻击者可利用此漏洞在目标系统上执行任意代码。
漏洞名称
Apple WebKit 敏感信息泄露漏洞(CVE-2023-28204)
CVE编号
CVE-2023-28204
其他编号
QVD-2023-11866
CVSS 3.1评级
高危
CVSS 3.1分数
7.1
CVSS向量
访问途径(AV)
攻击复杂度(AC)
网络
低
所需权限(PR)
用户交互(UI)
无
需要
影响范围(S)
机密性影响(C)
不改变
高
完整性影响(I)
可用性影响(A)
无
低
危害描述
远程攻击者可利用此漏洞访问目标系统上的敏感信息。
处置建议
目前Apple官方已发布安全版本,建议受影响用户尽快升级:
https://support.apple.com/en-us/HT213761
https://support.apple.com/en-us/HT213762
https://support.apple.com/en-us/HT213764
https://support.apple.com/en-us/HT213765
https://support.apple.com/en-us/HT213758
参考资料
https://support.apple.com/en-us/HT213761
https://support.apple.com/en-us/HT213762
https://support.apple.com/en-us/HT213764
https://support.apple.com/en-us/HT213765
https://support.apple.com/en-us/HT213758
页:
[1]