【漏洞通告】Apple多个在野高危漏洞安全风险通告

嘉诚安全 2024-11-21 03:00

漏洞背景

近日，嘉诚安全监测到Apple发布新版本，修复了存在在野利用的多款产品输入验证错误漏洞和多款产品跨站脚本漏洞，漏洞编号分别是：
CVE-2024-44308和CVE-2024-44309。

iOS是由苹果公司开发的移动操作系统。iPadOS是苹果公司基于iOS研发的移动端操作系统系列。macOS 是苹果公司桌面和笔记本电脑的操作系统。Vision OS是苹果推出的一种空间计算操作系统。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

漏洞详情

1、CVE-2024-44308

Apple多款产品输入验证错误漏洞，经研判，该漏洞为
高危漏洞，已发现被
在野利用。远程攻击者可以诱骗受害者访问特制的网页并在系统上执行任意代码。

2、CVE-2024-44309

Apple多款产品跨站脚本漏洞，经研判，该漏洞为
中危漏洞，已发现被
在野利用
。攻击者可以诱骗受害者点击特制的链接，在用户浏览器中在任意网站的上下文中执行任意HTML和脚本代码。

危害影响

影响版本：

iOS < 17.7.2

iOS < 18.1.1

iPadOS < 17.7.2

iPadOS < 18.1.1

macOS Sequoia < 15.1.1

visionOS < 2.1.1

修复建议

目前官方已有可更新版本，建议受影响用户升级至最新版本：

iOS >=17.7.2

iOS >= 18.1.1

iPadOS >=17.7.2

iPadOS >= 18.1.1

macOS Sequoia >= 15.1.1

visionOS >= 2.1.1

请参阅发布说明：

https://support.apple.com/en-us/100100