请选择 进入手机版 | 继续访问电脑版
查看: 14570|回复: 0

Apple WebKit 多个高危漏洞安全风险通告

[复制链接]
匿名
匿名  发表于 2023-5-20 00:20:38 |阅读模式

Apple WebKit 是由苹果公司开发的一款开源浏览器引擎,它是 Safari 浏览器的核心组件,也被 Google、Adobe 等公司使用在其产品中。WebKit 引擎采用 C++ 语言编写,支持 HTML、CSS、JavaScript 等 Web 标准,并提供了高性能的渲染和布局引擎,能够快速准确地呈现网页内容。

近日监测到Apple官方发布了多个高危漏洞,包括Apple WebKit 缓冲区溢出漏洞(CVE-2023-32409)、Apple WebKit 释放后重用漏洞(CVE-2023-32373)、Apple WebKit 敏感信息泄露漏洞(CVE-2023-28204)。鉴于这些漏洞影响范围较大,且已发现在野利用,建议客户尽快做好自查及防护。


漏洞名称

Apple WebKit 缓冲区溢出漏洞(CVE-2023-32409)

公开时间

2023-05-18

更新时间

2023-05-19

CVE编号

CVE-2023-32409

其他编号

QVD-2023-11865

威胁类型

代码执行

技术类型

缓冲区溢出

厂商

Apple

产品

WebKit

风险等级

风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未公开

未公开

已发现

未公开

漏洞描述

由于 WebKit 中存在边界错误,远程攻击者可以诱骗受害者访问特制网页,触发内存损坏并突破 Web 内容沙箱。

影响版本

Safari < 16.5

其他受影响组件

iOS < 15.7.6

tvOS < 16.5

watchOS < 9.5

iPadOS < 15.7.6

macOS Ventura < 13.4


漏洞名称

Apple WebKit 释放后重用漏洞(CVE-2023-32373)

公开时间

2023-05-18

更新时间

2023-05-19

CVE编号

CVE-2023-32373

其他编号

QVD-2023-11867

威胁类型

代码执行

技术类型

释放后重用

厂商

Apple

产品

WebKit

风险等级

风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未公开

未公开

已发现

未公开

漏洞描述

由于 WebKit 中存在释放后重用错误,远程攻击者可以诱骗受害者访问特制网页,触发此漏洞并在系统上执行任意代码。

影响版本

Safari < 16.5

其他受影响组件

iOS < 15.7.6

tvOS < 16.5

watchOS < 9.5

iPadOS < 15.7.6

macOS Ventura < 13.4


漏洞名称

Apple WebKit 敏感信息泄露漏洞(CVE-2023-28204)

公开时间

2023-05-18

更新时间

2023-05-19

CVE编号

CVE-2023-28204

其他编号

QVD-2023-11866

威胁类型

信息泄漏

技术类型

越界读取

厂商

Apple

产品

WebKit

风险等级

风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未公开

未公开

已发现

未公开

漏洞描述

WebKit 中存在越界读取错误,远程攻击者可以诱骗受害者访问特制网页,触发此漏洞并读取系统内存的内容。

影响版本

Safari < 16.5

其他受影响组件

iOS < 15.7.6

tvOS < 16.5

watchOS < 9.5

iPadOS < 15.7.6

macOS Ventura < 13.4



威胁评估

漏洞名称

Apple WebKit 缓冲区溢出漏洞(CVE-2023-32409)

CVE编号

CVE-2023-32409

其他编号

QVD-2023-11865

CVSS 3.1评级

高危

CVSS 3.1分数

8.8

CVSS向量

访问途径(AV)

攻击复杂度(AC)

网络



所需权限(PR)

用户交互(UI)



需要

影响范围(S)

机密性影响(C)

不改变



完整性影响(I)

可用性影响(A)





危害描述

远程攻击者可利用此漏洞在目标系统上执行任意代码。






漏洞名称

Apple WebKit 释放后重用漏洞(CVE-2023-32373)

CVE编号

CVE-2023-32373

其他编号

QVD-2023-11867

CVSS 3.1评级

高危

CVSS 3.1分数

8.8

CVSS向量

访问途径(AV)

攻击复杂度(AC)

网络



所需权限(PR)

用户交互(UI)



需要

影响范围(S)

机密性影响(C)

不改变



完整性影响(I)

可用性影响(A)





危害描述

远程攻击者可利用此漏洞在目标系统上执行任意代码。






漏洞名称

Apple WebKit 敏感信息泄露漏洞(CVE-2023-28204)

CVE编号

CVE-2023-28204

其他编号

QVD-2023-11866

CVSS 3.1评级

高危

CVSS 3.1分数

7.1

CVSS向量

访问途径(AV)

攻击复杂度(AC)

网络



所需权限(PR)

用户交互(UI)



需要

影响范围(S)

机密性影响(C)

不改变



完整性影响(I)

可用性影响(A)





危害描述

远程攻击者可利用此漏洞访问目标系统上的敏感信息。







处置建议

目前Apple官方已发布安全版本,建议受影响用户尽快升级:

https://support.apple.com/en-us/HT213761

https://support.apple.com/en-us/HT213762

https://support.apple.com/en-us/HT213764

https://support.apple.com/en-us/HT213765

https://support.apple.com/en-us/HT213758

参考资料

[1]https://support.apple.com/en-us/HT213761

[2]https://support.apple.com/en-us/HT213762

[3]https://support.apple.com/en-us/HT213764

[4]https://support.apple.com/en-us/HT213765

[5]https://support.apple.com/en-us/HT213758

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

旗下站点

邮箱系统

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

GMT+8, 2024-4-17 14:11 , Processed in 0.032666 second(s), 12 queries , Gzip On, MemCache On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部