苹果紧急修复已遭利用的0day漏洞
作者:微信文章聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
苹果发布 iOS 18.3.2和iPad 18.3.2,紧急修复在该移动操作系统老旧版本上被利用的 WebKit 0day 漏洞CVE-2025-24201。
该漏洞可导致攻击者突破 Web Content 沙箱,而苹果公司表示,该漏洞“可能已被用于极其复杂的攻击中,针对的受害者是使用早于 iOS 17.2的iOS 版本的用户”。该公司在安全公告中提到,“这是针对 iOS 17.2中被拦截的攻击的补充修复方案。为保护客户安全,苹果不会在调查之前且补丁可用之前,霹雳、讨论或确认安全问题。”
苹果表示CVE-2025-24201是一个界外写漏洞,已通过改进检查阻止未授权操作的方式修复。iOS 18.3.2是在苹果修复另外一个漏洞后发布的,该漏洞可导致对被锁iPhone 或 iPad 具有物理访问权限的攻击者禁用“USB 受限制模式”,而该模式是一个关键的防护机制。苹果当时提到该漏洞可导致“针对特定个体的极其复杂的攻击”。该漏洞由公民实验室的研究员 Bill Marczak 发现,这说明该利用用于国家级别的监控。
USB 受限制模式是一个安全特性,当设备被锁的时间超过1小时候,可通过 iPhone 或 iPad 的Lightning/USB-C 端口拦截数据访问,目的是阻止通过USB连接的入侵工具以破解设备密码或提取数据。
代码卫士试用地址:https://codesafe.qianxin.com开源卫士试用地址:https://oss.qianxin.com
推荐阅读
苹果紧急修复被用于“极其复杂”攻击中的0day漏洞
苹果紧急修复已遭利用的两个0day
苹果紧急修复已遭利用的两个新 iOS 0day漏洞
苹果修复2024年遭利用的第1个0day漏洞
苹果紧急修复两个 iOS 0day漏洞
原文链接
https://www.securityweek.com/apple-ships-ios-18-3-2-to-fix-already-exploited-webkit-flaw/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
页:
[1]