Apple修复CVE-2024-44308和CVE-2024-44309等漏洞

苹果公司（Apple Inc.）是美国的跨国科技公司，总部位于美国加州库比蒂诺硅谷，由史蒂夫·乔布斯和斯蒂夫·盖瑞·沃兹尼亚克共同创立。

苹果多次上榜世界五百强，并且被多个媒体评为最有价值的品牌之一，截至2024年06月12日，苹果公司的市值已经达到了3.23万亿美元 。

一、 情况分析

iOS是苹果公司一款移动操作系统，iOS和macOS操作系统一样，属于类Unix商业操作系统，最早于2007年01月09日Macworld大会公布。

iPadOS（iPad Operating System）是苹果公司基于 iOS 研发的移动端操作系统系列，最早2019年06月04日苹果全球开发者大会上发布 。

macOS是运行于Macintosh系列电脑操作系统，是基于XNU混合内核的图形化操作系统，是首个在商用领域成功的图形用户界面操作系统。

visionOS是苹果公司2023年06月06日在苹果全球开发者大会发布的AR眼镜系统，是一种空间计算操作系统，Apple Vision Pro首次搭载。

栋科技漏洞库关注到Apple近期发布安全性公告，列出软件安全性更新和快速安全响应，修复CVE-2024-44308、CVE-2024-44309等漏洞。

二、漏洞分析

CVE-2024-44308

CVE-2024-44308漏洞是Apple多款产品中存在的输入验证错误漏洞，远程攻击者可诱骗受害者访问特制的网页并在系统上执行任意代码。

已在Safari 18.1.1、iOS 17.7.2 和 iPadOS 17.7.2、macOS Sequoia 15.1.1、iOS 18.1.1 和 iPadOS 18.1.1及visionOS 2.1.1版本得到修复。

该漏洞的CVSS评分为8.8，苹果公司已获悉有报告称，此问题可能在基于 Intel 的 Mac 系统上被积极利用，建议大家尽快做好自查及防护。

CVE-2024-44309

CVE-2024-44308漏洞是Apple多款产品中存在的跨站脚本漏洞，攻击者可以通过诱骗受害者点击特制的链接，从而导致跨站点脚本攻击。

该漏洞暂未获得CVSS评分，攻击者可通过诱骗受害者点击特制的链接，在用户浏览器中任意网站的上下文中执行任意HTML和脚本代码。

漏洞已经在Safari 18.1.1、iOS 17.7.2和iPadOS 17.7.2、macOS Sequoia 15.1.1、iOS 18.1.1和iPadOS 18.1.1、visionOS 2.1.1得以修复。

通过改进状态管理解决cookie管理问题，Apple注意到一份报告，该漏洞可能已在基于Intel的Mac系统被积极利用，建议做好自查和防护。

三、影响范围

iOS 和iPadOS < 17.7.2

iOS 和iPadOS < 18.1.1

macOS Sequoia < 15.1.1

visionOS < 2.1.1

四、 修复建议

目前官方已有可更新版本，建议受影响用户升级至最新版本：

iOS 和 iPadOS >=17.7.2

iOS 和 iPadOS >= 18.1.1

macOS Sequoia >= 15.1.1

visionOS >= 2.1.1

五、参考链接

https://support.apple.com/zh-cn/100100