近日，蘋果公司推出了針對iOS、iPadOS、macOS和Safari 的安全更新，以解決據(jù)稱已在野被積極利用的零日漏洞。

根據(jù)中國網(wǎng)絡(luò)安全行業(yè)門戶極牛網(wǎng)(GeekNB.com)的梳理，該漏洞編號為 CVE-2023-23529，與 WebKit 瀏覽器引擎中的類型混淆錯(cuò)誤有關(guān)，該漏洞可以在處理惡意制作的 Web 內(nèi)容時(shí)被激活，最終導(dǎo)致任意代碼執(zhí)行。

目前尚不清楚該漏洞是如何在現(xiàn)實(shí)世界的攻擊中被利用的，但這是2022年繼 CVE-2022-42856 之后第二個(gè)被修補(bǔ)的 WebKit 中被濫用的類型混淆漏洞

由于蘋果公司要求瀏覽器廠商使用相同的渲染框架的限制，WebKit 缺陷的另一個(gè)值得注意之處在于它們會影響適用于 iOS 和 iPadOS 的所有第三方網(wǎng)絡(luò)瀏覽器。

該公司還解決了內(nèi)核中的釋放后使用漏洞 (CVE-2023-23514)，該漏洞可能允許流氓應(yīng)用程序以最高權(quán)限執(zhí)行任意代碼。

建議用戶更新至 iOS 16.3.1、iPadOS 16.3.1、macOS Ventura 13.2.1 和 Safari 16.3.1 以降低潛在風(fēng)險(xiǎn)。這些更新適用于以下設(shè)備：

• iPhone 8 及更新機(jī)型、iPad Pro（所有機(jī)型）、iPad Air 第三代及更新機(jī)型、iPad 第五代及更新機(jī)型、iPad mini 第五代及更新機(jī)型；

• 運(yùn)行 macOS Ventura、macOS Big Sur 和 macOS Monterey 的 Mac 電腦；

蘋果公司在 2022 年修復(fù)了其軟件中的 10 個(gè)零日漏洞，其中 9 個(gè)被披露為被攻擊者在野積極利用。其中4個(gè)缺陷是在 WebKit 中發(fā)現(xiàn)的。