行業新聞與部落格

蘋果被迫釋出更多緊急更新，以修復影響 iOS 和 iPadOS 使用者的兩個新的零日漏洞。

週三釋出的一份通報將 CVE-2023-42824 描述為一個核心問題，可能允許本地攻擊者提升其許可權。透過改進檢查解決了這個問題。

該科技巨頭補充道：“蘋果公司瞭解到一份報告稱，iOS 16.6 之前的 iOS 版本可能已積極利用此問題。”

第二個零日漏洞 CVE-2023-5217 影響 WebRTC 開源通訊軟體，並可能導致緩衝區溢位，從而導致任意程式碼執行。蘋果表示，該問題已透過將 libvpx 影片編解碼器庫更新至版本 1.13.1 來修復。

這兩個補丁都是 iOS 17.0.3 和 iPadOS 17.0.3 更新的一部分，適用於 iPhone XS 及更新機型、iPad Pro 12.9 英寸第二代及更新機型、iPad Pro 10.5 英寸、iPad Pro 11 英寸第一代及更新機型、iPad Air 第 3 代及更新機型、iPad 第 6 代及更新機型以及 iPad mini 第 5 代及更新機型。

目前還沒有關於誰發現了零日漏洞的資訊，因此尚不清楚它們是否可能已被用來傳播商業間諜軟體。

最近幾周，蘋果公司被迫修復了一系列由谷歌和非營利組織公民實驗室發現的零日漏洞，該實驗室擁有發現與此類操作相關的國家支援威脅的記錄。

9 月底，蘋果修復了其中的三個補丁，包括核心、安全框架和 WebKit 瀏覽器引擎中的錯誤。它們與 Cytrox 的 Predator 間諜軟體有關。

同月初，它修復了另外兩個與 NSO 集團開發的臭名昭著的 Pegasus 間諜軟體的交付相關的問題。

這使得蘋果今年迄今為止修補的零日漏洞總數達到 17 個。