本周，苹果发布了紧急安全更新提示，用于修复两个零日漏洞，这些漏洞针对英特尔的 Mac 系统攻击。据了解，这些是在 macOS 的 macOS Sequoia JavaScriptCore (CVE-2024-44308) 和 WebKit (CVE-2024-44309) 组件中发现的。

JavaScriptCore CVE-2024-44308 漏洞允许攻击者通过恶意制作的 Web 内容实现远程代码执行。另一个漏洞 CVE-2024-44309 允许跨站点脚本 (CSS) 攻击。

该公司表示，它解决了 macOS Sequoia 15.1.1 中的安全漏洞。由于其他 Apple 操作系统中也存在相同的组件，因此在 iOS 17.7.2 和 iPadOS 17.7.2、iOS 18.1.1 和 iPadOS 18.1.1 以及 VisionOS 2.1.1 中也修复了该问题。

虽然苹果表示这两个漏洞是由谷歌威胁分析小组发现的，但该公司尚未提供有关如何利用这些漏洞的更多详细信息。

加上这两个漏洞，苹果公司在 2024 年迄今已修复了 6 个零日漏洞，第一个于 1 月，两个于 3 月，第四个于 5 月。这个数字明显好于去年，当时苹果修复了总共 20 个被利用的零日漏洞，其中包括：

·11 月份的两个零日漏洞（CVE-2023-42916 和 CVE-2023-42917）

·10 月份的两个零日漏洞（CVE-2023-42824 和 CVE-2023-5217）

·10 月份的五个零日漏洞（CVE-2023-41061、CVE） -2023-41064、CVE-2023-41991、CVE-2023-41992 和 CVE-2023-41993）

·9 月份的两个零日漏洞（CVE-2023-37450 和 CVE-2023-38606）

·7 月份的三个零日漏洞（ CVE-2023-32434、CVE-2023-32435 和 CVE-2023-32439）

·6 月份出现另外三个零日漏洞（CVE-2023-32409、CVE-2023-2023-28204 和 CVE-2023-32373）

·5 月份出现两个零日漏洞4 月份的 -days（CVE-2023-28206 和 CVE-2023-28205）

·以及 2 月份的另一个 WebKit 零日漏洞（CVE-2023-23529）

参考及来源：https://www.bleepingcomputer.com/news/security/apple-fixes-two-zero-days-used-in-attacks-on-intel-based-macs/