苹果WebKit浏览引擎的零日漏洞及其影响

关键要点

苹果披露并修复了两项影响其WebKit浏览引擎的零日漏洞，涉及iOS 1671之前的设备。漏洞编号为CVE202342916和CVE202342917，可能导致敏感信息泄露和恶意代码执行。苹果已针对受影响的设备发布了更新，包含iOS 1712、iPadOS 1712和macOS Sonoma 1412等。在Apple的App Store中，所有web浏览器应用都必须使用WebKit引擎，这引发了竞争反垄断的担忧。

苹果公司在10月10日修复了两项影响其自家WebKit浏览引擎的零日漏洞。苹果表示，他们已意识到在运行iOS 1671及之前版本的设备上存在此漏洞的利用情况。受影响的设备的新补丁可在以下版本中找到：iOS 1712、iPadOS 1712、macOS Sonoma 1412、以及Safari 1712。

WebKit漏洞可能泄露敏感数据和执行恶意代码

这两项漏洞编号分别为CVE202342916和CVE202342917，可能会让攻击者获得目标苹果设备上的敏感信息。

第一个漏洞CVE202342916与越界读取缺陷有关，该缺陷在处理网页内容时可能泄露敏感信息。苹果表示已通过改善输入验证来修复此缺陷。

第二个漏洞则因内存损坏漏洞导致任意代码执行ACE。苹果表示，安全更新已提供了更好的“锁定”机制，以防止ACE利用。

这两个漏洞是由谷歌威胁分析组TAG的安全工程师Clment Lecigne报告给苹果的。苹果表示“已经注意到报告，称该问题可能对iOS 1671之前版本造成了利用”。

苹果没有透露漏洞的具体技术细节或攻击的影响范围。

谷歌和苹果的零日漏洞无关

Lecigne与谷歌TAG的同事Benot Sevens还于11月24日发现了另一个在Google Chrome中被积极利用的零日漏洞，该漏洞于11月28日修复，涉及Chrome的2D图形库Skia中的整数溢出缺陷。然而，尽管谷歌的Chrome浏览器在苹果设备上使用WebKit引擎，但Skia的漏洞似乎仅影响桌面版本的Chrome和使用Chromium引擎的浏览器。

谷歌代表向SC Media确认，WebKit和Skia的漏洞无关，也不是来自同一个TAG调查。

WebKit零日漏洞引发反竞争担忧

与此同时，苹果因要求第三方浏览器应用开发者使用其WebKit引擎而受到一些监管机构的审查。苹果的App Store审核指南指出，“浏览网页的应用必须使用适当的WebKit框架和WebKit JavaScript。”

梯子npv加速

英国竞争与市场管理局CMA在伦敦上诉法院赢得了对苹果的案件，允许其继续对苹果的第三方移动浏览器开发者限制进行调查。CMA在2021年进行的市场研究之后，于2022年12月13日列出了它计划在“移动浏览器和云游戏市场调查”中涵盖的问题。

根据问题声明，“市场研究发现，所有苹果设备上的浏览器质量都受限于WebKit开发进展缓慢，网络开发者因为WebKit缺乏支持而取消了功能，企业在依赖本地应用而非Web应用时承担更高成本，并且面临WebKit固有的错误和故障。”

苹果声称提供“最佳安全”保障

针对CMA的问题声明，苹果辩称其WebKit引擎确保了用户的“最佳安全和隐私”。

苹果在其2022年1月的回应信中指出，WebKit与iOS的集成是保证用户安全的关键，能够有效利用多种安全