搜索
红客联盟 - 由08小组运营»社区首页 休闲娱乐 最新资讯 Apple 多个产品高危漏洞安全风险通告
查看: 24850|回复: 1

Apple 多个产品高危漏洞安全风险通告

[复制链接]
匿名
匿名  发表于 2023-4-10 23:24:17 |阅读模式

安全通告

IOSurfaceAccelerator是一个对象,用于管理IOSurface框架中IOSurface之间的硬件加速传输/缩放。它仅与具有 k32BGRAPixelFormat 或 k16LE565PixelFormat 的表面兼容。

WebKit 是 Apple 开发的浏览器引擎,主要用于其 Safari 网络浏览器,以及 iOS 和 iPadOS 上的所有网络浏览器。

近日,奇安信CERT监测到 Apple 发布安全通告,Apple IOSurfaceAccelerator 权限提升漏洞(CVE-2023-28206)和Apple WebKit 代码执行漏洞(CVE-2023-28205)存在在野利用,未经身份认证的远程攻击者可以组合利用这两个漏洞,通过诱导受害者打开特制网站,最终导致在受害者系统上以内核权限执行任意代码。鉴于这些漏洞影响范围较大且存在在野利用,建议客户尽快做好自查及防护。


漏洞名称

Apple IOSurfaceAccelerator 权限提升漏洞

公开时间

2023-04-10

更新时间

2023-04-10

CVE编号

CVE-2023-28206

其他编号

QVD-2023-8617

威胁类型

权限提升

技术类型

越界写入

厂商

Apple

产品

macOS Ventura、iOS、iPadOS

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未发现

未发现

已发现

未公开

漏洞描述

Apple IOSurfaceAccelerator 存在越界写入漏洞,攻击者可以诱导受害者安装恶意的应用程序,通过该应用程序触发该漏洞并使用内核权限执行任意代码。

影响版本

macOS Ventura < 13.3.1

iOS < 16.4.1

iPadOS < 16.4.1

其他受影响组件




漏洞名称

Apple WebKit 代码执行漏洞

公开时间

2023-04-10

更新时间

2023-04-10

CVE编号

CVE-2023-28205

其他编号

QVD-2023-8618

威胁类型

代码执行

技术类型

释放后重用

厂商

Apple

产品

macOS Ventura、iOS、iPadOS、Safari

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未发现

未发现

已发现

未公开

漏洞描述

未经身份认证的远程攻击者可以诱骗受害者打开特制网站,成功触发该漏洞可在系统上执行任意代码。

影响版本

macOS Ventura < 13.3.1

iOS < 16.4.1

iPadOS < 16.4.1

Safari < 16.4.1

其他受影响组件





威胁评估

漏洞名称

Apple   IOSurfaceAccelerator 权限提升漏洞

CVE编号

CVE-2023-28206

其他编号

QVD-2023-8617

CVSS 3.1评级

高危

CVSS 3.1分数

8.8

CVSS向量

访问途径(AV)

攻击复杂度(AC)

网络



用户认证(Au)

用户交互(UI)



需要

影响范围(S)

机密性影响(C)

不改变



完整性影响(I)

可用性影响(A)





危害描述

本地应用程序可以触发漏洞并使用内核权限执行任意代码。


漏洞名称

Apple WebKit 代码执行漏洞

CVE编号

CVE-2023-28205

其他编号

QVD-2023-8618

CVSS 3.1评级

高危

CVSS 3.1分数

8.8

CVSS向量

访问途径(AV)

攻击复杂度(AC)

网络



用户认证(Au)

用户交互(UI)



需要

影响范围(S)

机密性影响(C)

不改变



完整性影响(I)

可用性影响(A)





危害描述

成功触发该漏洞可以在系统上执行任意代码。







处置建议

目前官网已发布安全更新,建议受影响用户尽快更新至安全版本:

macOS Ventura >= 13.3.1iOS >= 16.4.1iPadOS >= 16.4.1Safari >= 16.4.1

参考资料
[1]https://support.apple.com/kb/HT213720

[2]https://support.apple.com/kb/HT213721

[3]https://support.apple.com/kb/HT213722
回复

使用道具 举报

热心网友5
发表于 2026-5-22 00:10:00 | 显示全部楼层

Re: Apple 多个产品高危漏洞安全风险通告

感谢分享这个重要的安全通告!两个高危漏洞都在野利用,确实需要重视。尤其WebKit那个可以通过诱导访问网站触发,建议所有使用相关设备的用户尽快升级到macOS 13.3.1、iOS/iPadOS 16.4.1以及Safari 16.4.1。不知道是否有临时缓解措施,比如禁用某些功能来降低风险?也提醒大家平时留意苹果官方的安全更新推送。
回复 支持 反对

使用道具 举报

返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-6-11 07:33 , Processed in 0.025438 second(s), 18 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部