【苹果发布iOS和iPad OS的重要安全更新，旨在解决两个关键性零日漏洞】

【苹果发布iOS和iPadOS的重要安全更新，旨在解决两个关键性零日漏洞】2023年04月10日01点41分4月10日消息，苹果公司发布了iOS16.4.1和iPadOS16.4.1的重要安全更新，旨在解决两个已经在野外被利用的关键性零日漏洞（CVE-2023-28205和CVE-2023-28206）。这些漏洞影响IOSurfaceAccelerator和WebKit，可以在iPhone和iPad上进行任意代码执行，并且复杂的攻击链针对最新的iPhone设备。苹果公司承认了这些漏洞的主动利用，IOSurfaceAccelerator漏洞已通过改进输入验证得到修复，而WebKit漏洞已通过改进内存管理得到解决。用户需尽快将设备更新到iOS16.4.1和iPadOS16.4.1，以保护设备的安全。

苹果 iOS / iPadOS 17.1 修补 3 年漏洞：会暴露真实 MAC 地址

苹果iOS/iPadOS17.1修补3年漏洞：会暴露真实MAC地址苹果公司在2023年10月26日发布的iOS/iPadOS17.1更新中修复了一个存在了三年的漏洞。这个漏洞涉及到iOS14、iPadOS14和watchOS7自2020年起引入的“私有地址”功能，该功能旨在通过为每个Wi-Fi网络使用不同的MAC地址来保护用户隐私。然而，安全专家TommyMysk和TalalHaj发现了一个问题（追踪编号为CVE-2023-42846），即当设备连接到网络时，它会发送包含其真实MAC地址的多播消息。因此，在iOS17.1之前，iPhone和iPad设备的真实Wi-FiMAC地址仍然可能被暴露，这对于特别注重隐私的用户来说可能是一个问题。来源：https://www.ithome.com/0/728/196.htm投稿：@ZaiHuaBot频道：@TestFlightCN

【Apple发布解决3个新零日漏洞的安全补丁，并提醒用户及时升级】

【Apple发布解决3个新零日漏洞的安全补丁，并提醒用户及时升级】2023年09月22日04点24分9月22日消息，Apple发布了新一轮安全补丁，以解决三个正在被积极利用的零日漏洞，这些漏洞影响了iOS、iPadOS、macOS、watchOS和Safari，使今年在其软件中发现的零日漏洞总数达到16个。安全漏洞列表如下：CVE-2023-41991，Security框架中的一个证书验证问题，可能允许恶意应用程序绕过签名验证。CVE-2023-41992，Kernel中的一个安全漏洞，可能允许本地攻击者提升权限。CVE-2023-41993，WebKit中的一个漏洞，在处理特制Web内容时可能导致任意代码执行。苹果没有提供更多细节，只是确认了“该问题可能在iOS16.7之前的版本中被积极利用。提醒用户及时升级”。

苹果发布更新修复两个关键的安全漏洞

苹果发布更新修复两个关键的安全漏洞苹果公司本周为iPhone、iPad和Mac发布了重要的软件更新，修复了苹果公司已知的被攻击者积极利用的两个安全漏洞。这两个漏洞是在WebKit（为Safari和其他应用程序提供动力的浏览器引擎）和内核（基本上是操作系统的核心）发现的。这两个漏洞同时影响了iOS和iPadOS以及macOSMonterey。苹果公司说，如果有漏洞的设备访问或处理"恶意制作的网页内容可能导致任意代码执行"，WebKit的漏洞就会被利用，而第二个漏洞允许恶意应用程序"以内核权限执行任意代码"，这意味着对设备的完全访问。这两个缺陷被认为是相关的。...苹果公司表示，iPhone6s及以后的机型、iPadAir2及以后的机型、iPad第五代及以后的机型、iPadmini4及以后的机型和iPodtouch（第七代），以及所有iPadPro机型都受到影响。——

【CertiK：苹果iOS内核存在的两个安全漏洞会对iOS设备造成影响】

【CertiK：苹果iOS内核存在的两个安全漏洞会对iOS设备造成影响】2023年08月09日10点40分老不正经报道，根据苹果公司最新操作系统更新的发布说明，区块链安全机构CertiK因与苹果iOS内核的两个安全漏洞有关的安全贡献获苹果官方认可。经证实，这些漏洞会对最新的iOS设备造成影响。据苹果公司官方安全更新页面信息显示，这些漏洞会允许“一个应用程序以内核权限执行任意代码”。在最新发布的版本中，苹果已通过改进内存处理来解决这些漏洞。

Apple 发布紧急安全更新，以修复三个新的零日漏洞

Apple发布紧急安全更新，以修复三个新的零日漏洞WebKit浏览器引擎(CVE-2023-41993)和安全框架(CVE-2023-41991)中发现了两个错误，使攻击者能够使用恶意应用程序绕过签名验证或通过恶意制作的网页获取任意代码执行权限。第三个是在内核框架中找到的，它提供API以及对内核扩展和内核驻留设备驱动程序的支持。本地攻击者可以利用此缺陷(CVE-2023-41992)来升级权限。Apple通过解决证书验证问题和改进检查，修复了macOS12.7/13.6、iOS16.7/17.0.1、iPadOS16.7/17.0.1和watchOS9.6.3/10.0.1中的三个零日错误。该公司在描述安全漏洞的安全公告中透露，“苹果公司了解到一份报告称，iOS16.7之前的iOS版本可能已积极利用此问题。”这三个零日漏洞均由多伦多大学芒克学院公民实验室的BillMarczak和Google威胁分析小组的MaddieStone发现并报告。虽然苹果尚未提供有关漏洞利用的更多详细信息，但公民实验室和谷歌威胁分析小组的安全研究人员经常披露零日漏洞，这些漏洞被滥用在针对高风险个人的有针对性的间谍软件攻击中，其中包括记者、反对派政客、和持不同政见者。——