(资料图片)

Apple修复了两个被iPhone、Mac和iPad设备用户积极利用的零日漏洞。

专家表示，这些缺陷可能允许威胁行为者接管受害者的设备，使他们能够完全访问端点。

这家库比蒂诺巨头在与修复程序一起发布的咨询中表示：“苹果公司知道有报道称此问题可能已被积极利用。”

这两个缺陷被追踪为CVE-2023-28206和CVE-2023-28205。前者是一个IOSurface越界写入漏洞，允许威胁行为者破坏数据、使应用程序和设备崩溃以及远程执行代码。最坏的情况-威胁参与者可能会推送恶意应用程序，允许他们在目标端点上以内核权限执行任意代码。

后者是一个WebKit释放后使用漏洞，具有类似的后果-数据损坏和任意代码执行。对于这个缺陷，最坏的情况是诱骗受害者访问恶意网站，导致远程代码执行。

这些缺陷已在iOS16.4.1、iPadOS16.4.1、macOSVentura13.3.1和Safari16.4.1版本中得到解决，因此，如果您担心这些漏洞，请确保将系统升级到最新版本尽快地。

Apple发布了易受攻击的设备列表，包括iPhone8及更新版本、所有iPadPro、iPadAir3d代及更新版本、iPad5代及更新版本、iPadmini5代及更新版本以及所有macOSVentura设备。

苹果确实表示，它知道威胁行为者在野外滥用零日漏洞，但没有讨论细节。然而，BleepingComputer推测攻击者可能是由国家资助的，因为这些缺陷是由通常寻找政府资助的玩家的研究人员发现的。

发现这些缺陷的研究人员是谷歌威胁分析小组的ClémentLecigne和国际特赦组织安全实验室的DonnchaÓCearbhaill。据称，这些缺陷被用作漏洞利用链的一部分。