印度计算机应急响应小组(CERT-In)已经向苹果产品用户发布了一份建议。网络安全机构报告了苹果产品的多个漏洞,这些漏洞可能允许攻击者绕过隐私首选项,使用内核特权执行任意代码,访问敏感信息,并欺骗目标系统的用户界面。
对于那些不知道CERT-In的人来说,它是电子和信息技术部(Meity)下属的一个应对计算机安全事件的国家节点机构。
苹果tvOS和watchOS产品存在漏洞。它影响了v16.4之前的Apple tvOS版本和v9.4之前的Apple WatchOS版本。该漏洞被CERT-In评为高严重程度。
CERT-In在其报告中表示,这些漏洞的存在是由于applemobilefilelintegrity、身份服务、播客、TCC、Find My、快捷方式和WebKit的缺陷;Core Bluetooth和ImagelO的越界读取;CoreCapture、FontParser和ImagelO中内存处理不当;在Foundation中任意执行代码;内核中具有内核特权的任意代码;在WebKit中绕过同源策略WebKit中的原始信息;日历中输入卫生处理不当;ImagelO中不正确的输入验证。
苹果公司已经发布了同样的软件更新。建议用户将设备升级到WatchOS v9.4和AppletvOS v16.4。
在另一份报告中,CERT-In还对苹果Safari浏览器的多个漏洞提出了警告。该公司表示,针对macOS Big Sur和macOS Monterey Overview的16.4之前的苹果Safari版本中的漏洞可能被攻击者利用,以获取目标系统的敏感信息。CERT-In表示,由于WebKit组件中的状态管理和原始信息泄露不当,这些漏洞存在于Apple Safari中。
