近日，國家信息安全漏洞庫（CNNVD）收到關(guān)于macOS和iOS內(nèi)核漏洞（CNNVD編號：CNNVD-201810-1510、CVE編號：CVE-2018-4407）情況的報送。成功利用漏洞的攻擊者可能對目標(biāo)系統(tǒng)執(zhí)行惡意代碼或使系統(tǒng)崩潰重啟。iOS11及其以下版本、MacOS High Sierra 10.13.6及其以下版本的設(shè)備均受此漏洞影響。目前，蘋果官方已經(jīng)發(fā)布了版本更新修復(fù)了該漏洞。建議用戶及時確認(rèn)系統(tǒng)版本，如受影響，請及時采取修補措施。

MacOS High Sierra 10.13.6

一、漏洞介紹

macOS High Sierra 是 2017 年 6 月蘋果公司在 WWDC 開發(fā)者大會上發(fā)布的蘋果桌面操作系統(tǒng)， iOS 是由美國蘋果公司開發(fā)的應(yīng)用于蘋果手機、平板等設(shè)備的操作系統(tǒng)。

macOSHigh Sierra和iOS系統(tǒng)存在內(nèi)核漏洞（CNNVD編號：CNNVD-201810-1510、CVE編號：CVE-2018-4407），該漏洞是XNU系統(tǒng)內(nèi)核中網(wǎng)絡(luò) 部分的堆緩沖區(qū)溢出導(dǎo)致，攻擊者通過向目標(biāo)設(shè)備發(fā)送特殊構(gòu)造的數(shù)據(jù)包從而執(zhí)行惡意代碼或使系統(tǒng)崩潰重啟。觸發(fā)該漏洞的必要條件是攻擊者與目標(biāo)系統(tǒng)需處于同一網(wǎng)絡(luò)（如Wi-Fi）。

二、危害影響

成功利用該漏洞的攻擊者， 可以在目標(biāo)系統(tǒng)中執(zhí)行惡意代碼 。 iOS11及其以下版本、MacOS High Sierra 10.13.6及其以下版本的設(shè)備均受此漏洞影響。

三、修復(fù)建議

目前，蘋果官方已經(jīng)發(fā)布了版本更新修復(fù)了該漏洞。建議用戶及時確認(rèn)系統(tǒng)版本，如受影響，請及時采取修補措施。漏洞修補措施如下：

1、 進(jìn)行系統(tǒng)更新，更新到最新版本
2、 如果沒有更新到最新版本，可在macOS防火墻中啟用 隱藏模式可防止攻擊。這個系統(tǒng)設(shè)置默認(rèn)情況下不啟用，需要用戶手動開啟。
本通報由CNNVD技術(shù)支撐單位—— 安天移動安全公司等提供支持。

CNNVD 將繼續(xù)跟蹤上述漏洞的相關(guān)情況，及時發(fā)布相關(guān)信息。如有需要，可與CNNVD聯(lián)系。

聯(lián)系方式: cnnvd@itsec.gov.cn