苹果已通过iOS 17.4修复两枚零日漏洞 这些漏洞已经被武器化并利用
山外的鸭子哥
据苹果发布的安全公告,苹果在最新更新中修复了 CVE-2024-23225 和 CVE-2024-23296 漏洞,实际修复的漏洞远不只是这两个,不过这两个漏洞已经在野外遭到利用。
CVE-2024-23225:
内核中存在的内存损坏问题,具有任意内核读写能力的攻击者可以利用该漏洞绕过内核内存保护。苹果公司获悉有报告称该问题可能已被利用,苹果已经通过改进验证解决内存损坏问题。
CVE-2024-23296:
RTKit 实时操作系统 (RTOS) 中存在的内存损坏问题,具有任意内核读写能力的攻击者可以利用该漏洞绕过内核内存保护。苹果公司获悉有报告称该问题可能已被利用,苹果已经通过改进验证解决内存损坏问题。
目前尚不清楚这些漏洞的具体细节以及如何被武器化利用的,但考虑到目前有相当多的商业间谍软件开发商盯着 iOS 系统,因此这些漏洞大概率已经被某些商业间谍软件使用。
据苹果的说明,该公司已经在 iOS 17.4 和 iPadOS 17.4 以及 iOS 16.7.6 和 iPadOS 16.7.6 版中修复这些漏洞,对于 iPhone 8 及后续机型等请检查更新升级到最新版确保安全。
注:版本更新说明
iOS 16.7.6 和 iPadOS 16.7.6 版适用于 iPhone 8 系列、iPhone X、第五代 iPad、iPad Pro 9.7 英寸版和 iPad Pro 12.9 英寸版 (第一代)。
iOS 17.4 和 iPadOS 17.4 版适用于 iPhone XS 及后续机型、iPad Pro 12.9 英寸 (第二代及后续)、iPad Pro 10.5 英寸、iPad Pro 11 英寸及后续机型、iPad Air 第三代及后续机型、iPad 第六代及后续机型、iPad Mini 5 及后续机型。
