Apple WebKit 多个高危漏洞安全风险通告

Apple WebKit 是由苹果公司开发的一款开源浏览器引擎，它是 Safari 浏览器的核心组件，也被 Google、Adobe 等公司使用在其产品中。WebKit 引擎采用 C++ 语言编写，支持 HTML、CSS、JavaScript 等 Web 标准，并提供了高性能的渲染和布局引擎，能够快速准确地呈现网页内容。

近日监测到Apple官方发布了多个高危漏洞，包括Apple WebKit 缓冲区溢出漏洞(CVE-2023-32409)、Apple WebKit 释放后重用漏洞(CVE-2023-32373)、Apple WebKit 敏感信息泄露漏洞(CVE-2023-28204)。鉴于这些漏洞影响范围较大，且已发现在野利用，建议客户尽快做好自查及防护。

漏洞名称	Apple WebKit 缓冲区溢出漏洞(CVE-2023-32409)
公开时间	2023-05-18	更新时间	2023-05-19
CVE编号	CVE-2023-32409	其他编号	QVD-2023-11865
威胁类型	代码执行	技术类型	缓冲区溢出
厂商	Apple	产品	WebKit
风险等级
风险评级		风险等级
高危		蓝色（一般事件）
现时威胁状态
POC状态	EXP状态	在野利用状态	技术细节状态
未公开	未公开	已发现	未公开
漏洞描述	由于 WebKit 中存在边界错误，远程攻击者可以诱骗受害者访问特制网页，触发内存损坏并突破 Web 内容沙箱。
影响版本	Safari < 16.5
其他受影响组件	iOS < 15.7.6 tvOS < 16.5 watchOS < 9.5 iPadOS < 15.7.6 macOS Ventura < 13.4

漏洞名称	Apple WebKit 释放后重用漏洞(CVE-2023-32373)
公开时间	2023-05-18	更新时间	2023-05-19
CVE编号	CVE-2023-32373	其他编号	QVD-2023-11867
威胁类型	代码执行	技术类型	释放后重用
厂商	Apple	产品	WebKit
风险等级
风险评级		风险等级
高危		蓝色（一般事件）
现时威胁状态
POC状态	EXP状态	在野利用状态	技术细节状态
未公开	未公开	已发现	未公开
漏洞描述	由于 WebKit 中存在释放后重用错误，远程攻击者可以诱骗受害者访问特制网页，触发此漏洞并在系统上执行任意代码。
影响版本	Safari < 16.5
其他受影响组件	iOS < 15.7.6 tvOS < 16.5 watchOS < 9.5 iPadOS < 15.7.6 macOS Ventura < 13.4

漏洞名称	Apple WebKit 敏感信息泄露漏洞(CVE-2023-28204)
公开时间	2023-05-18	更新时间	2023-05-19
CVE编号	CVE-2023-28204	其他编号	QVD-2023-11866
威胁类型	信息泄漏	技术类型	越界读取
厂商	Apple	产品	WebKit
风险等级
风险评级		风险等级
高危		蓝色（一般事件）
现时威胁状态
POC状态	EXP状态	在野利用状态	技术细节状态
未公开	未公开	已发现	未公开
漏洞描述	WebKit 中存在越界读取错误，远程攻击者可以诱骗受害者访问特制网页，触发此漏洞并读取系统内存的内容。
影响版本	Safari < 16.5
其他受影响组件	iOS < 15.7.6 tvOS < 16.5 watchOS < 9.5 iPadOS < 15.7.6 macOS Ventura < 13.4

威胁评估

漏洞名称	Apple WebKit 缓冲区溢出漏洞(CVE-2023-32409)
CVE编号	CVE-2023-32409	其他编号		QVD-2023-11865
CVSS 3.1评级	高危	CVSS 3.1分数		8.8
CVSS向量	访问途径（AV）		攻击复杂度（AC）
	网络		低
	所需权限（PR）		用户交互（UI）
	无		需要
	影响范围（S）		机密性影响（C）
	不改变		高
	完整性影响（I）		可用性影响（A）
	高		高
危害描述	远程攻击者可利用此漏洞在目标系统上执行任意代码。

漏洞名称	Apple WebKit 释放后重用漏洞(CVE-2023-32373)
CVE编号	CVE-2023-32373	其他编号		QVD-2023-11867
CVSS 3.1评级	高危	CVSS 3.1分数		8.8
CVSS向量	访问途径（AV）		攻击复杂度（AC）
	网络		低
	所需权限（PR）		用户交互（UI）
	无		需要
	影响范围（S）		机密性影响（C）
	不改变		高
	完整性影响（I）		可用性影响（A）
	高		高
危害描述	远程攻击者可利用此漏洞在目标系统上执行任意代码。

漏洞名称	Apple WebKit 敏感信息泄露漏洞(CVE-2023-28204)
CVE编号	CVE-2023-28204	其他编号		QVD-2023-11866
CVSS 3.1评级	高危	CVSS 3.1分数		7.1
CVSS向量	访问途径（AV）		攻击复杂度（AC）
	网络		低
	所需权限（PR）		用户交互（UI）
	无		需要
	影响范围（S）		机密性影响（C）
	不改变		高
	完整性影响（I）		可用性影响（A）
	无		低
危害描述	远程攻击者可利用此漏洞访问目标系统上的敏感信息。

处置建议

目前Apple官方已发布安全版本，建议受影响用户尽快升级：

https://support.apple.com/en-us/HT213761

https://support.apple.com/en-us/HT213762

https://support.apple.com/en-us/HT213764

https://support.apple.com/en-us/HT213765

https://support.apple.com/en-us/HT213758

参考资料

[1]https://support.apple.com/en-us/HT213761

[2]https://support.apple.com/en-us/HT213762

[3]https://support.apple.com/en-us/HT213764

[4]https://support.apple.com/en-us/HT213765

[5]https://support.apple.com/en-us/HT213758