苹果0day漏洞紧急修复；美国大力打击间谍软件公司；黑客利用Docker Redis漏洞进行挖矿| 安全周报 0308

1. 紧急：苹果针对已被积极利用的零日漏洞发布关键更新

苹果已经发布了安全更新，以修复几个安全漏洞，其中包括两个它表示已在野外被积极利用的漏洞。

这些漏洞列举如下：

• CVE-2024-23225 - 内核中的一个内存损坏问题，具有任意内核读写能力的攻击者可以利用它绕过内核内存保护。

• CVE-2024-23296 - RTKit实时操作系统（RTOS）中的一个内存损坏问题，具有任意内核读写能力的攻击者可以利用它绕过内核内存保护。

目前尚不清楚这些漏洞是如何在野外被武器化的。苹果表示，这两个漏洞已在iOS 17.4、iPadOS 17.4、iOS 16.7.6和iPadOS 16.7.6中通过改进验证得到解决。

来源：https://thehackernews.com/2024/03/urgent-apple-issues-critical-updates.html

2. 美国打击针对官员和记者的掠夺性间谍软件公司

美国财政部海外资产控制办公室 (OFAC) 制裁了与Intellexa联盟有关的两名人员，因为他们在“开发、运营和分发”商业间谍软件方面发挥了作用，这些软件旨在针对该国的政府官员、记者和政策专家。

该机构表示：“商业间谍软件的扩散对美国构成了独特且日益严重的安全风险，并已被外国行为者滥用，以实施侵犯人权行为，并针对世界各地的持不同政见者进行镇压和报复。”