关于Apple WebKit任意代码执行漏洞(CVE-2023-23529)的预警提示

发布时间:2023-02-28浏览次数:41

一、漏洞详情

WebKit是一个开源的Web浏览器引擎,苹果的Safari、谷歌的Chrome浏览器都是基于该框架来开发的。WebKit还支持移动设备和手机,包括iPhoneAndroid手机都是使用WebKit作为浏览器的核心。

Apple发布安全更新,修复了其iPhoneiPadMac产品中的一个任意代码执行漏洞(CVE-2023-23529),Apple表示该漏洞已发现被利用。由于WebKit存在类型混淆漏洞,可在未经身份验证的情况下通过诱使用户点击恶意制作的网页内容,可能导致目标系统崩溃或执行任意代码。

此外,本次更新还修复了Apple Kernel中的释放后使用漏洞(CVE-2023-23514),该漏洞可能导致以内核权限执行任意代码;以及Apple macOS Ventura中的信息泄露漏洞(CVE-2023-23522),该漏洞可能导致应用程序观察到未受保护的用户数据。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

Apple iOSiPadOS < 16.3.1

Apple macOS Ventura < 13.2.1

注:已知该漏洞影响了iPhone 8及更新机型、iPad Pro(所有机型)、iPad Air第三代及更新机型、iPad第五代及更新机型、iPad mini第五代及更新机型、运行macOS Ventura Mac等。

该漏洞还影响了macOS Big Sur Monterey上的Safari 16.3.1

三、修复建议

目前Apple已经发布了这些漏洞的安全更新,受影响用户可及时升级到最新版本。

链接:https://support.apple.com/zh-cn/HT201222