iOS系统WebKit浏览器引擎曝零日漏洞，可导致任意代码执行

近日，苹果公司推出了针对iOS、iPadOS、macOS和Safari 的安全更新，以解决据称已在野被积极利用的零日漏洞。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，该漏洞编号为 CVE-2023-23529，与 WebKit 浏览器引擎中的类型混淆错误有关，该漏洞可以在处理恶意制作的 Web 内容时被激活，最终导致任意代码执行。

目前尚不清楚该漏洞是如何在现实世界的攻击中被利用的，但这是2022年继 CVE-2022-42856 之后第二个被修补的 WebKit 中被滥用的类型混淆漏洞

由于苹果公司要求浏览器厂商使用相同的渲染框架的限制，WebKit 缺陷的另一个值得注意之处在于它们会影响适用于 iOS 和 iPadOS 的所有第三方网络浏览器。

该公司还解决了内核中的释放后使用漏洞 (CVE-2023-23514)，该漏洞可能允许流氓应用程序以最高权限执行任意代码。

建议用户更新至 iOS 16.3.1、iPadOS 16.3.1、macOS Ventura 13.2.1 和 Safari 16.3.1 以降低潜在风险。这些更新适用于以下设备：

iPhone 8 及更新机型、iPad Pro（所有机型）、iPad Air 第三代及更新机型、iPad 第五代及更新机型、iPad mini 第五代及更新机型；

运行 macOS Ventura、macOS Big Sur 和 macOS Monterey 的 Mac 电脑；

苹果公司在 2022 年修复了其软件中的 10 个零日漏洞，其中 9 个被披露为被攻击者在野积极利用。其中4个缺陷是在 WebKit 中发现的。