✔️ 2022-08-18 00:35:26 – 巴黎/法国。
苹果今天发布了紧急安全更新,以修复之前被攻击者用来入侵 iPhone、iPad 或 Mac 的两个零日漏洞。
零日漏洞是攻击者或研究人员在软件供应商意识到或能够修复它们之前已知的安全漏洞。 在许多情况下,零日漏洞具有公开的概念证明漏洞利用或在攻击中被积极利用。
今天,Apple 发布了 macOS Monterey 12.5.1 和 iOS 15.6.1/iPadOS 15.6.1,以解决据称已被积极利用的两个零日漏洞。
这两个漏洞对于所有三个操作系统都是相同的,第一个漏洞被识别为 CVE-2022-32894。 该漏洞是操作系统内核中的越界写入漏洞。
Kernel 是一个程序,作为操作系统的主要组件,在 macOS、iPadOS 和 iOS 中具有最高权限。
恶意软件等应用程序可以利用此漏洞以内核权限执行代码。 由于这是最高权限级别,进程将能够在设备上执行任何命令,从而有效地完全控制它。
第二个零日漏洞是 CVE-2022-32893,它是 WebKit(Safari 和其他支持 Web 的应用程序使用的 Web 浏览器引擎)中的越界写入漏洞。
苹果表示,该漏洞将允许攻击者执行任意代码,并且由于它位于 Web 引擎中,因此很可能通过访问恶意制作的网站来远程利用该漏洞。
这些错误由匿名研究人员报告,并由 Apple 在 iOS 15.6.1、iPadOS 15.6.1 和 macOS Monterey 12.5.1 中修复,并通过增强限制检查这两个错误。
受这两个漏洞影响的设备列表如下:
- 运行 macOS Monterey 的 Mac
- iPhone 6s 及更新机型
- iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch(第 7 代)。
Apple 披露了在野外的积极利用,但没有发布有关这些攻击的任何其他信息。
这些零日漏洞很可能仅用于有针对性的攻击,但仍强烈建议尽快安装今天的安全更新。
苹果今年修补了七个零日漏洞
2022 月,Apple 修复了两个额外的零日漏洞,这些漏洞在英特尔显卡驱动程序 (CVE-22674-2022) 和 AppleAVD (CVE-22675-XNUMX) 中使用,也可用于以内核权限运行代码。
2022 月份,Apple 修补了两个更积极利用的零日漏洞,允许攻击者以内核权限执行任意代码 (CVE-22587-2022) 并实时跟踪 Web 浏览活动和用户身份 (CVE-22594-XNUMX)。
今年 XNUMX 月,Apple 发布了安全更新,以修复一个新的零日漏洞,该漏洞被利用来入侵 iPhone、iPad 和 Mac,在处理恶意制作的 Web 内容后导致操作系统崩溃和在受感染设备上远程执行代码。
来源: 评论 新闻
不要犹豫,在社交网络上分享我们的文章,给我们一个坚实的推动力。 🤓