漏洞概述 | |||
漏洞名称 | Apple多个产品高危漏洞 | ||
漏洞编号 | CVE-2023-41064、CVE-2023-41061 | ||
公开时间 | 2023-09-08 | 影响对象数量级 | 百万级 |
奇安信评级 | 高危 | CVSS 3.1分数 | 9.4 |
威胁类型 | 代码执行 | 利用可能性 | 高 |
POC状态 | 未公开 | 在野利用状态 | 已发现 |
EXP状态 | 未公开 | 技术细节状态 | 未公开 |
危害描述:攻击者可利用漏洞在不与受害者进行任何交互的情况下执行任意代码。 |
01 漏洞详情
影响组件
iOS 、iPadOS系统是美国苹果(Apple)公司所研发的移动操作系统。为Apple公司多款产品提供相关功能。
影响版本漏洞描述
近日,奇安信CERT监测到Apple官方发布了多个产品高危漏洞,包括两个任意代码执行漏洞,分别是CVE-2023-41064和CVE-2023-41061,这两个漏洞被称为BLASTPASS漏洞利用链,攻击者能够在不与受害者进行任何交互的情况下借助PassKit附件进行利用,从攻击者 iMessage 帐户发送恶意图像给受害者从而执行任意代码。
奇安信CERT监测到该利用链正在被NSO Group组织的 Pegasus 雇佣间谍软件所广泛利用,现实危害升级,建议客户尽快做好自查及防护。
漏洞名称 | 漏洞描述 |
Apple 多个产品任意代码执行漏洞(CVE-2023-41064) | Apple多个产品中存在缓冲区溢出漏洞,攻击者从 iMessage 帐户发送恶意图像给受害者,在不与受害者进行任何交互的情况下执行任意代码。 |
Apple 多个产品任意代码执行漏洞(CVE-2023-41061) | Apple多个产品中存在逻辑验证错误问题,攻击者借助恶意制作的PassKit附件,在不与受害者进行任何交互的情况下执行任意代码。 |
02 影响范围
影响版本
Apple 多个产品任意代码执行漏洞(CVE-2023-41064):
macOS Ventura < 13.5.2
iOS < 16.6.1
iPadOS < 16.6.1
Apple 多个产品任意代码执行漏洞(CVE-2023-41061):
iOS < 16.6.1
iPadOS < 16.6.1
watchOS < 9.6.2
其他受影响组件
无
03 处置建议
安全更新
目前,官方已发布最新版本修复这些漏洞,建议用户尽快更新设备。
更新信息参考:
https://support.apple.com/kb/HT213905
https://support.apple.com/kb/HT213906
https://support.apple.com/kb/HT213907
缓解措施
设备开启锁定模式。
关于锁定模式请参考官方介绍:https://support.apple.com/en-ca/HT212650
04 参考资料
[1]https://support.apple.com/kb/HT213905
[2]https://support.apple.com/kb/HT213906
[3]https://support.apple.com/kb/HT213907
[4]https://support.apple.com/en-ca/HT212650
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。