| 漏洞概述 | |||
| 漏洞名称 | Apple 多款产品输入验证错误漏洞 | ||
| 漏洞编号 | QVD-2024-47972、CVE-2024-44308 | ||
| 公开时间 | 2024-11-19 | 影响量级 | 千万级 |
| 奇安信评级 | 高危 | CVSS 3.1分数 | 8.8 |
| 威胁类型 | 代码执行 | 利用可能性 | 高 |
| POC状态 | 未公开 | 在野利用状态 | 已发现 |
| EXP状态 | 未公开 | 技术细节状态 | 未公开 |
| 危害描述:成功利用可能造成代码执行、信息泄露等危害。 | |||
| 漏洞概述 | |||
| 漏洞名称 | Apple 多款产品跨站脚本漏洞 | ||
| 漏洞编号 | QVD-2024-47973、CVE-2024-44309 | ||
| 公开时间 | 2024-11-19 | 影响量级 | 千万级 |
| 奇安信评级 | 中危 | CVSS 3.1分数 | 6.1 |
| 威胁类型 | 代码执行 | 利用可能性 | 高 |
| POC状态 | 未公开 | 在野利用状态 | 已发现 |
| EXP状态 | 未公开 | 技术细节状态 | 未公开 |
| 危害描述:成功利用可在用户浏览器中执行任意 HTML 和脚本代码。 | |||
01 漏洞详情
影响组件
iOS是由苹果公司开发的移动操作系统。iPadOS是苹果公司基于iOS研发的移动端操作系统系列。macOS 是苹果公司桌面和笔记本电脑的操作系统。Vision OS是苹果推出的一种空间计算操作系统。
漏洞描述
近日,奇安信CERT监测到Apple发布新版本修复了存在在野利用的Apple 多款产品输入验证错误漏洞(CVE-2024-44308),远程攻击者可以诱骗受害者访问特制的网页并在系统上执行任意代码。Apple 多款产品跨站脚本漏洞(CVE-2024-44309),诱骗受害者点击特制的链接,在用户浏览器中在任意网站的上下文中执行任意 HTML 和脚本代码。鉴于这些漏洞已发现在野利用,建议客户尽快做好自查及防护。
02 影响范围
影响版本
iOS < 17.7.2
iOS < 18.1.1
iPadOS < 17.7.2
iPadOS < 18.1.1
macOS Sequoia < 15.1.1
visionOS < 2.1.1
其他受影响组件
无
03 处置建议
安全更新
目前官方已有可更新版本,建议受影响用户升级至最新版本:
iOS >=17.7.2
iOS >= 18.1.1
iPadOS >=17.7.2
iPadOS >= 18.1.1
macOS Sequoia >= 15.1.1
visionOS >= 2.1.1
请参阅发布说明:
https://support.apple.com/en-us/100100
04 参考资料
[1]https://support.apple.com/en-us/100100