赶快更新！Apple 出现多个安全漏洞

The 赶快更新个安Hacker News 网站披露
，苹果公司近日推出了 iOS、现多iPadOS、全漏macOS 的赶快更新个安安全更新，以期解决一个 0day 漏洞（追踪为 CVE-2023-23529）。现多

研究表明，全漏CVE-2023-23529 漏洞与 WebKit 开源浏览器引擎中的赶快更新个安类型混淆错误有关，一旦攻击者成功利用，建站模板现多便可在目标系统上执行任意代码。全漏

WebKit 是赶快更新个安一个主要用于 Safari
，Dashboard 
，现多Mail 和其它一些 Mac OS X 程序的全漏开源浏览器引擎
，在手机上的赶快更新个安应用十分广泛（例如 Android、iPhone 等） 。免费模板现多此外 ，全漏WebKit 还应用在 Mac OS X 平台默认的 Safari 桌面浏览器内 。

国内某安全厂商监测到多个 Apple 漏洞

除了上述提到的 CVE-2023-23529 安全漏洞，近段时间 ，国内某安全厂商还监测了多个 Apple 官方发布的安全漏洞通知，主要包括：

Apple Kernel 权限提升漏洞(CVE-2023-23514)Apple macOS Ventura 敏感信息泄露漏洞(CVE-2023-23522)

相较于其它两个漏洞，亿华云CVE-2023-23529 影响范围及危害程度最严重，该漏洞允许未经身份认证的远程攻击者诱骗受害者访问其特制的恶意网站，使 WebKit 处理网页内容时触发类型混淆错误，最终在目标系统上实现任意代码执行。

影响苹果多个版本产品：

iPhone 8 及更高版本iPad Pro（所有型号）iPad Air 第三代及更高版本iPad 第五代及更新版本iPad mini 第五代和更高版本运行 macOS Ventura 的 Mac

此外
，攻击者可组合利用 CVE-2023-23529 和 CVE-2023-23514 漏洞提升权限并逃逸 Safari 沙箱。服务器租用值得注意的是，安全研究人员已经发现 Apple WebKit 任意代码执行漏洞 CVE-2023-23529 在野利用的迹象，鉴于这些漏洞影响范围较大 ，建议客户尽快做好自查及防护 。

苹果已发布了安全更新

2 月14 日，苹果官方正式发布了 iOS 16.3.1 安全更新 ，模板下载 修复了 CVE-2023-23529 高危漏洞，建议用户尽快升级。

官方更新日志显示，此次安全更新修复了存在于 WebKit 中的漏洞

WebKit 安全漏洞问题存在已久 ，2022 年 ，苹果总共修复了 10 个 0day
，4 个漏洞是在 WebKit 中发现的源码库。