Apple 已针对本月早些时候发布的旧版 iPhone 和 iPad 的反向移植补丁发布了新的安全更新,以解决可远程利用的 WebKit 零日漏洞,该漏洞允许攻击者在未打补丁的设备上执行任意代码。
这个零日漏洞与 Apple于 8 月 17 日为 macOS Monterey 和 iPhone/iPad 设备以及 8月 18 日为 Safari修补的漏洞相同。
该漏洞的编号为 CVE-2022-3289,是 WebKit 中的一个越界写入漏洞,WebKit 是 Safari 和其他应用程序用来访问 Web 的 Web 浏览器引擎。
如果成功利用,它允许攻击者通过诱使目标访问其控制下的恶意网站来远程执行任意代码。
在今天发布的安全公告中,Apple 再次表示,他们知道有关此安全问题“可能已被积极利用”的报道。
今日安全更新适用的设备列表包括 iPhone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3 和 iPod touch(第 6 代),它们都运行 iOS 12.5.6。
修补旧手机以阻止攻击
尽管苹果公司已经披露它收到了关于在野外积极利用的报告,但该公司尚未发布有关这些攻击的信息。
通过隐瞒这些信息,Apple 的目标可能是允许尽可能多的用户在其他攻击者获取零日漏洞的详细信息并开始在他们自己的针对易受攻击的 iPhone 和 iPad 的攻击中部署漏洞之前应用安全更新。
虽然这个零日漏洞很可能只用于针对性攻击,但仍然强烈建议尽快安装今天的 iOS 安全更新,以阻止潜在的攻击尝试。
美国网络安全和基础设施安全局 (CISA) 也在 8 月 19 日将此安全漏洞添加到其已利用漏洞目录中,要求联邦民事执行局 (FCEB) 机构对其进行修补以保护“免受主动威胁”。
这是苹果自今年年初以来修复的第七个零日漏洞:
3 月,Apple 修复了英特尔显卡驱动程序 (CVE-2022-22674) 和 AppleAVD (CVE-2022-22675) 中的两个零日漏洞 。
2 月,Apple 发布了安全更新 ,以修复另一个 用于攻击 iPhone、iPad 和 Mac的 WebKit 零日漏洞。
1 月份, Apple 修补了另外两个被利用的零日漏洞,这些漏洞利用 内核权限 (CVE-2022-22587) 和 Web 浏览活动跟踪 (CVE-2022-22594) 启用代码执行。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Apple将积极利用iOS零日漏洞修复程序向后移植到旧版iPhone
