苹果今天发布了紧急安全更新,以修复之前被攻击者用来入侵 iPhone、iPad 或 Mac 的两个零日漏洞。
零日漏洞是攻击者或研究人员在软件供应商意识到或能够修补它们之前已知的安全漏洞。在许多情况下,零日漏洞具有公开的概念证明漏洞利用或在攻击中被积极利用。
今天,Apple 发布了 macOS Monterey 12.5.1 和 iOS 15.6.1/iPadOS 15.6.1,以解决据报道已被积极利用的两个零日漏洞
这两个漏洞对于所有三个操作系统都是相同的,第一个漏洞被跟踪为 CVE-2022-32894。此漏洞是操作系统内核中的越界写入漏洞。
内核是作为操作系统核心组件运行的程序,在 macOS、iPadOS 和 iOS 中具有最高权限。
应用程序(例如恶意软件)可以利用此漏洞以内核权限执行代码。由于这是最高权限级别,进程将能够在设备上执行任何命令,从而有效地完全控制它。
第二个零日漏洞是 CVE-2022-32893,是 WebKit(Safari 和其他可以访问 Web 的应用程序使用的 Web 浏览器引擎)中的越界写入漏洞。
Apple 表示,此漏洞将允许攻击者执行任意代码执行,并且由于它位于 Web 引擎中,因此很可能通过访问恶意制作的网站来远程利用。
这些错误由匿名研究人员报告,并由 Apple 在 iOS 15.6.1、iPadOS 15.6.1 和 macOS Monterey 12.5.1 中修复,并改进了对这两个错误的边界检查。
受这两个漏洞影响的设备列表是:
运行 macOS Monterey 的 Mac
iPhone 6s 及更新机型
iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch(第 7 代)。
Apple 披露了在野外的积极利用,但是,它没有发布有关这些攻击的任何其他信息。
这些零日漏洞可能仅用于有针对性的攻击,但仍强烈建议尽快安装今天的安全更新。
苹果今年修补了七个零日漏洞
3 月,Apple修补了另外两个零日漏洞,这些漏洞用于英特尔显卡驱动程序 (CVE-2022-22674) 和 AppleAVD (CVE-2022-22675),这些漏洞也可用于以内核权限执行代码。
1 月, Apple 修补了两个更积极利用的零日漏洞 ,使攻击者能够以内核权限 (CVE-2022-22587) 执行任意代码并实时跟踪 Web 浏览活动和用户身份 (CVE-2022-22594) )。
2 月,Apple 发布了安全更新,以修复一个新的零日漏洞,该漏洞被用来入侵 iPhone、iPad 和 Mac,导致在处理恶意制作的 Web 内容后,受感染设备上的操作系统崩溃和远程执行代码。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Apple安全更新修复了2个用于破解iPhone、Mac的零日漏洞