本周,苹果发布了紧急安全更新提示,用于修复两个零日漏洞,这些漏洞针对英特尔的 Mac 系统攻击。据了解,这些是在 macOS 的 macOS Sequoia JavaScriptCore (CVE-2024-44308) 和 WebKit (CVE-2024-44309) 组件中发现的。
JavaScriptCore CVE-2024-44308 漏洞允许攻击者通过恶意制作的 Web 内容实现远程代码执行。另一个漏洞 CVE-2024-44309 允许跨站点脚本 (CSS) 攻击。
该公司表示,它解决了 macOS Sequoia 15.1.1 中的安全漏洞。由于其他 Apple 操作系统中也存在相同的组件,因此在 iOS 17.7.2 和 iPadOS 17.7.2、iOS 18.1.1 和 iPadOS 18.1.1 以及 VisionOS 2.1.1 中也修复了该问题。
虽然苹果表示这两个漏洞是由谷歌威胁分析小组发现的,但该公司尚未提供有关如何利用这些漏洞的更多详细信息。
加上这两个漏洞,苹果公司在 2024 年迄今已修复了 6 个零日漏洞,第一个于 1 月,两个于 3 月,第四个于 5 月。这个数字明显好于去年,当时苹果修复了总共 20 个被利用的零日漏洞,其中包括:
·11 月份的两个零日漏洞(CVE-2023-42916 和 CVE-2023-42917)
·10 月份的两个零日漏洞(CVE-2023-42824 和 CVE-2023-5217)
·10 月份的五个零日漏洞(CVE-2023-41061、CVE) -2023-41064、CVE-2023-41991、CVE-2023-41992 和 CVE-2023-41993)
·9 月份的两个零日漏洞(CVE-2023-37450 和 CVE-2023-38606)
·7 月份的三个零日漏洞( CVE-2023-32434、CVE-2023-32435 和 CVE-2023-32439)
·6 月份出现另外三个零日漏洞(CVE-2023-32409、CVE-2023-2023-28204 和 CVE-2023-32373)
·5 月份出现两个零日漏洞4 月份的 -days(CVE-2023-28206 和 CVE-2023-28205)
·以及 2 月份的另一个 WebKit 零日漏洞(CVE-2023-23529)
参考及来源:https://www.bleepingcomputer.com/news/security/apple-fixes-two-zero-days-used-in-attacks-on-intel-based-macs/