Apple 补丁积极利用 iOS、macOS 零日漏洞

发布时间：2025-12-07 19:50:07 作者：玩站小弟

我要评论

苹果周四对其旗舰 iOS 和 macOS 平台推出了紧急更新，以修复两个被广泛利用的安全缺陷。这些漏洞已在最新的 iOS 16.6.1 和 macOS Ventura 13.5.2 版本中修复，由多伦。

苹果周四对其旗舰 iOS 和 macOS 平台推出了紧急更新，丁积洞以修复两个被广泛利用的极利安全缺陷。

这些漏洞已在最新的日漏 iOS 16.6.1 和 macOS Ventura 13.5.2 版本中修复，由多伦多大学 Munk 学院的丁积洞公民实验室负责，表明该漏洞被用于商业监控间谍软件产品。极利

多伦多大学蒙克学院的日漏公民实验室积极跟踪 PSOA（私营部门攻击者）以及销售黑客和漏洞利用工具和服务的公司不断扩大的源码库市场。

根据库比蒂诺安全响应团队的丁积洞建议，这两个缺陷都可以通过被操纵的极利图像文件来利用来发起代码执行攻击。

来自公告：

CVE-2023-41064 (ImageIO) — 处理恶意制作的日漏图像可能会导致任意代码执行。苹果公司获悉有报告称此问题可能已被积极利用。丁积洞通过改进内存处理解决了缓冲区溢出问题。极利CVE-2023-41061（钱包） — 恶意制作的源码下载日漏附件可能会导致任意代码执行。苹果公司获悉有报告称此问题可能已被积极利用。丁积洞通过改进逻辑解决了验证问题。极利

随着苹果公司努力跟上高技能攻击者的日漏步伐，针对零日 iOS和 macOS 缺陷的紧急补丁已成为经常发生的事情。

今年到目前为止，Apple 已针对 iOS、云计算iPadOS 和 macOS 平台中 13 个记录在案的零日漏洞推出了修复程序。该公司还推出了“锁定模式”来直接应对这些攻击，但利用的速度并没有放缓。

更新：公民实验室已确认这些缺陷是在与 NSO 集团的 Pegasus 雇佣间谍软件相关的利用活动中捕获的。高防服务器

“上周，在检查位于华盛顿特区的一个设有国际办事处的民间社会组织雇用的个人的设备时，公民实验室发现了一个被积极利用的零点击漏洞，该漏洞被用来传播 NSO 集团的 Pegasus 雇佣间谍软件，模板下载”公民集团表示。

该研究单位将漏洞利用链标记为 BLASTPASS，并表示它能够在没有受害者任何交互的情况下攻击运行最新版本 iOS (16.6) 的 iPhone 。

Citizen Lab 警告称，该漏洞涉及 PassKit 附件，其中包含从攻击者 iMessage 帐户发送给受害者的恶意图像。

服务器租用

Tag：

Windows 恶意软件通过 PowerShell 向 Chrome 注入恶意扩展
据外媒 The register 报道，最近网络上出现了一种名为 ChromeLoader 的 Windows 恶意软件，它会利用 PowerShell 向受害者的 Chrome 浏览器添加恶意扩展。
2025-12-07
大更新！微软发布103个漏洞补丁，其中13个为严重漏洞
近日，微软发布了2023年10月的补丁更新，解决了其软件中的103个漏洞。在这103个漏洞中，有13个的评级为严重漏洞，90个被评为重要漏洞。自9月12日以来，谷歌已经解决了基于chrome的Edge
2025-12-07
数据安全合规这门必修课，企业不再缺席
数据作为新型生产要素，占据着国家战略资源地位。然而，层出不穷的数据泄露事件也给数字化转型中的企业带来巨大风险和巨额损失的可能性。据IBM安全发布的《2023年数据泄露成本报告》显示，2023年数据泄露
2025-12-07
美国“雌雄大盗”认罪，曾窃取价值数十亿美元比特币
据美国司法部网站近期公开的消息，震惊“币圈”的2016年Bitfinex加密货币证券交易所盗窃案主犯——一对来自美国纽约的年轻夫妇近期正式承认其罪行，二人一共窃取了近12万枚比特币。这桩案件堪称是比
2025-12-07
思科修复了允许攻击者以root身份执行命令的BUG
近期，思科解决了Cisco Nexus Dashboard数据中心管理解决方案中的严重漏洞，这些漏洞可让远程攻击者以root或管理员权限执行命令和操作。第一个安全漏洞被评为严重严重性漏洞，编号为 CV
2025-12-07
伊朗黑客正在瞄准 Windows 和 macOS 用户
The Hacker News 网站披露，疑似名为 TA453 的伊朗黑客组织与一系列新鱼叉式网络钓鱼攻击有关，这些攻击使用恶意软件感染 Windows 和 macOS 操作系统。Proofpoint
2025-12-07