11月30日，苹果公司发布了一份安全更新，以解决针对旧款iPhone、iPad和Mac设备的两个正在被利用的零日漏洞。这两个漏洞存在于WebKit浏览器引擎中，可被攻击者用于劫持敏感内容或发起任意代码执行攻击。

根据苹果官网公告，其中一个漏洞（CVE-2023-42916）是一个越界读取问题，使得在处理网页内容时导致敏感信息泄露。另一个漏洞（CVE-2023-42917）是一个内存损坏漏洞，使得在处理网页内容时允许任意代码执行。这两个漏洞都是由谷歌威胁分析组（TAG）的安全研究员Clément Lecigne发现并报告的。

苹果表示，其已了解到有报告称，这些问题可能已经被利用来攻击早于iOS 16.7.1版本的设备。受影响的苹果设备范围广泛，包括：

iPhone XS及更高版本；

iPad Pro 12.9英寸第二代及更高版本、iPad Pro 10.5英寸、iPad Pro 11英寸第一代及更高版本、iPad Air第三代及更高版本、iPad第六代及更高版本、iPad mini第五代及更高版本；

另外，该补丁还适用于macOS Sonoma（版本14.1.2），以及macOS Monterey和macOS Ventura上的Safari（版本17.1.2）。

关于这些最近被利用的漏洞，苹果目前尚未公布更多细节。因为依照惯例，为了保护其客户，苹果在进行调查并提供补丁或版本之前都不会披露、讨论或确认安全问题。为阻止可能针对旧款苹果设备的攻击尝试，建议苹果用户尽快安装最新的安全更新。

编辑：左右里

资讯来源：Apple、redhotcyber

转载请注明出处和本文链接