请尽快升级 苹果iPhone、iPad被曝漏洞:可获取内核读写权限

业界
2023
05/23
11:14
IT之家
分享
评论

5 月 23 日消息,Jamf 威胁实验室近日发布博文,分享存在于 iPhone 上的 ColdInvite 漏洞,允许攻击者利用 iOS 系统中的已知 ColdIntro 漏洞。

安全研究人员 08tc3wbb 在分析 ColdIntro(追踪编号 CVE-2022-32894,苹果已经于去年修复)漏洞的时候,发现了一些“有趣而神秘”的信息,最终发现了 ColdInvite 漏洞(追踪编号 CVE-2023-27930)。

苹果去年发布了 iOS 15.6.1 更新,修复漏洞 ColdIntro 漏洞。ColdIntro 漏洞是从显示协处理器 (DCP) 引入恶意代码到 AP 内核;而本次发现的 ColdInvite 漏洞是允许攻击者绕过 DCP,直接进入到 AP 内核。

攻击者虽然无法利用 ColdIntro 和 ColdInvite 漏洞完全接管设备,但可以利用协处理器获取内核的读 / 写权限,从而侵入设备产生更大的破坏力。

IT之家在此附上受影响的苹果产品列表如下:

ColdIntro: iPhone 6s 及更新机型、iPad Pro(所有机型)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型,以及安装了 iOS 15.6(及旧版 iOS)的 iPod touch(第 7 代)。

ColdInvite:iPhone 12(及后续机型),安装了 iOS 14 至 16.4.1 版本。

苹果日前发布的 iOS / iPadOS 16.5 更新已经修复了 ColdInvite 漏洞(追踪编号 CVE-2023-27930),推荐用户尽快升级。

【来源:IT之家

THE END
广告、内容合作请点击这里 寻求合作
苹果iPhone
免责声明:本文系转载,版权归原作者所有;旨在传递信息,不代表 的观点和立场。

相关热点

5 月 23 日消息,根据消息源 @URedditor 分享的最新推文,苹果 iPhone 16 和 iPhone 16 Plus 两款机型后置摄像头将会采用类似于 iPhone 12 垂直排列,而非采用对角线设计。
业界
5 月 18 日消息,知名苹果分析师郭明錤预期苹果将协助立讯精密在印度设立产线,立讯精密有望在未来数年内受益于印度市场与供应链的成长。
业界
5月17日讯,在苹果前不久公布财报时,CEO库克曾提到安卓用户切换到iPhone的决定帮助他们稳固了市场地位。
业界
5 月 18 日消息,苹果宣布在澳大利亚推出 Tap to Pay on iPhone(轻触支付),允许该地区的独立卖家、小商户和大型零售商使用 iPhone 作为支付终端。
业界
5 月 15 日消息,苹果今天宣布, iPhone 14、iPhone 14 Plus、iPhone 14 Pro 和 iPhone 14 Pro Max 上提供的卫星通讯功能现已面向澳大利亚和新西兰用户推出。
业界

相关推荐

1
3
Baidu
map