苹果应急更新修复两个新的iOS零日漏洞

苹果电脑公司公司近日公布了先行确保更新，以整修在偷袭里被能用、阻碍iPhone、iPad和Mac设备的两个零日确保漏洞，自今年初以来已整修了20个零日确保漏洞。

“苹果电脑公司察觉到在iOS 16.7.1之前的版里可能从未能用了这个问题。”公司在周三公布的一份咨询里表示。这两个确保漏洞都发现在WebKit客户端汽缸里（CVE-2023-42916和CVE-2023-42917），允许从外部通过方式在存储确保漏洞采访敏感电子邮件，并通过内存破损确保漏洞在易受偷袭的设备上通过不负责任制作的网页执行者任意代码。

苹果电脑公司表示，它从未通过加以改进输出验证和加锁为运行iOS 17.1.2、iPadOS 17.1.2、macOS Sonoma 14.1.2和Safari 17.1.2的设备克服了这些确保确保漏洞。受阻碍的苹果电脑公司设备范围非常广泛，包括：

- iPhone XS及便型号

- iPad Pro 12.9英寸第二代及便、iPad Pro 10.5英寸、iPad Pro 11英寸第一代及便、iPad Air第三代及便、iPad第六代及便、iPad mini第五代及便

- 运行macOS Monterey、Ventura、Sonoma的Mac

Google打击分析小组（TAG）的确保研究成果员Clément Lecigne发现并研究成果报告了这两个零日确保漏洞。虽然苹果电脑公司尚未公布关于圈养悄悄进行的能用电子邮件，但GoogleTAG研究成果人员经常发现并揭露了可用国家政府支持的秘密软体偷袭近期个人，如路透社、卡扎菲政治家和异见者的零日确保漏洞。

2023年圈养能用的20个零日确保漏洞

CVE-2023-42916和CVE-2023-42917是苹果电脑公司今年整修的第19个和第20个在偷袭里被能用的零日确保漏洞。GoogleTAG揭露了另一个零日确保漏洞（CVE-2023-42824）在XNU应用程序里，使从外部能够在易受偷袭的iPhone和iPad上提升管辖权。

苹果电脑公司都只还补救了三个零日确保漏洞（CVE-2023-41991、CVE-2023-41992和CVE-2023-41993），这些确保漏洞是由国民研究成果小组和GoogleTAG研究成果人员研究成果报告的，并被打击行为者能用以调遣掠食者秘密软体。国民研究成果小组揭露了另外两个零日确保漏洞（CVE-2023-41061和CVE-2023-41064），苹果电脑公司在9月整修了这些确保漏洞，它们被滥用为一部分零点重击能用支链（被称为BLASTPASS）以配备NSO集团的Pegasus秘密软体。