行业新闻与博客

苹果被迫发布更多紧急更新，以修复影响 iOS 和 iPadOS 用户的两个新的零日漏洞。

周三发布的一份通报将 CVE-2023-42824 描述为一个内核问题，可能允许本地攻击者提升其权限。通过改进检查解决了这个问题。

该科技巨头补充道：“苹果公司了解到一份报告称，iOS 16.6 之前的 iOS 版本可能已积极利用此问题。”

第二个零日漏洞 CVE-2023-5217 影响 WebRTC 开源通信软件，并可能导致缓冲区溢出，从而导致任意代码执行。苹果表示，该问题已通过将 libvpx 视频编解码器库更新至版本 1.13.1 来修复。

这两个补丁都是 iOS 17.0.3 和 iPadOS 17.0.3 更新的一部分，适用于 iPhone XS 及更新机型、iPad Pro 12.9 英寸第二代及更新机型、iPad Pro 10.5 英寸、iPad Pro 11 英寸第一代及更新机型、iPad Air 第 3 代及更新机型、iPad 第 6 代及更新机型以及 iPad mini 第 5 代及更新机型。

目前还没有关于谁发现了零日漏洞的信息，因此尚不清楚它们是否可能已被用来传播商业间谍软件。

最近几周，苹果公司被迫修复了一系列由谷歌和非营利组织公民实验室发现的零日漏洞，该实验室拥有发现与此类操作相关的国家支持威胁的记录。

9 月底，苹果修复了其中的三个补丁，包括内核、安全框架和 WebKit 浏览器引擎中的错误。它们与 Cytrox 的 Predator 间谍软件有关。

同月初，它修复了另外两个与 NSO 集团开发的臭名昭著的 Pegasus 间谍软件的交付相关的问题。

这使得苹果今年迄今为止修补的零日漏洞总数达到 17 个。