蘋果公司上周五發布了iOS、iPadOS、macOS和Safari網絡瀏覽器的安全更新，以解決在野外被利用的零日漏洞。

漏洞的內容如下

• CVE-2023-28205- WebKit 中釋放后使用的問題，在處理特制的 Web 內容時可能導致任意代碼執行。
• CVE-2023-28206- IOSurfaceAccelerator 中存在一個越界寫入問題，該問題可能使應用能夠以內核權限執行任意代碼。

蘋果表示，目前已經通過改進內存管理解決了CVE-2023-28205，并通過更好的輸入驗證解決了第二個漏洞，雖然現在已經修復但是并不排除這些漏洞“可能已被積極利用”。

發現和報告這些漏洞的是谷歌威脅分析小組（TAG）的Clément Lecigne和大赦國際安全實驗室的Donncha ó Cearbhaill。

鑒于這兩個漏洞可能正在被利用，為了防止更多的攻擊者濫用這些漏洞，有關這兩個漏洞的細節并沒有公布。

此次更新在iOS 16.4.1、iPadOS 16.4.1、macOS Ventura 13.3.1和Safari 16.4.1版本中可用。這些修復措施也覆蓋了諸多設備，包括iPhone 8及更高版本、iPad Pro（所有型號）、iPad Air第三代及更高版本、iPad第五代及更高版本、iPad mini第五代及更高版本、運行macOS Big Sur、Monterey和Ventura的Mac電腦。

自今年年初以來，蘋果已經修補了三個零日。此前在2月份，蘋果修復了WebKit中另一個被積極利用的零日（CVE-2023-23529），該零日可導致任意代碼執行。

根據Google TAG披露，商業間諜軟件供應商正在利用Android和iOS中的零漏洞，用監視惡意軟件感染移動設備。蘋果官方也提醒用戶及時更新。

參考鏈接：thehackernews.com/2023/04/apple-releases-updates-to-address-zero.html