← voltar
CVE-2023-28205

CVE-2023-28205

CVSS 8.8 HIGHEPSS 27.1%● KEVCWE-416
Em resumo

Uma falha de 'use-after-free' (uso de memória já liberada) no Safari e dispositivos Apple permite que atacantes executem código arbitrário através de conteúdo malicioso na web. Esta vulnerabilidade foi explorada ativamente por criminosos.

Detalhe técnico

Vulnerabilidade CWE-416 (use-after-free) em gerenciamento de memória afeta Safari, iOS e macOS. O vetor de ataque é via rede, através de conteúdo web maliciosamente preparado; não requer interação além de acessar uma página maliciosa. Exploração bem-sucedida resulta em execução arbitrária de código com privilégios do processo Safari ou de aplicações que usem o componente vulnerável.

Resumo gerado e traduzido por IA a partir da descrição oficial.
A use after free issue was addressed with improved memory management. This issue is fixed in Safari 16.4.1, iOS 15.7.5 and iPadOS 15.7.5, iOS 16.4.1 and iPadOS 16.4.1, macOS Ventura 13.3.1. Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Produtos afetados
Apple · iOS and iPadOSApple · macOSApple · Safari
PoCs públicas encontradas2
githubgithub.com/ntfargo/uaf-2023-2820518githubgithub.com/seregonwar/uaf-2023-282058
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://support.apple.com/en-us/HT213720https://support.apple.com/en-us/HT213721https://support.apple.com/en-us/HT213722https://support.apple.com/en-us/HT213723https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2023-28205