Apple安全更新修復了2個用於入侵iPhone、Mac 的零日漏洞(8.17)
Apple今天發布了緊急安全更新,以用於修復之前被攻擊者用來入侵iPhone、iPad或Mac的兩個零日漏洞。
詳細情況
零日漏洞是在軟體供應商發現前或能夠進行修補之前,就已被攻擊者或研究員發現的安全漏洞。許多情況下,零日漏洞有公開的概念驗證利用或在攻擊中被積極利用。
今天,蘋果發布了macOS Monterey 12.5.1和iOS 15.6.1/iPad OS 15.6.1,以解決據報導已被積極利用的兩個零日漏洞。
這兩個漏洞對於所有三個作業系統都是相同的,第一個漏洞被跟蹤為 CVE-2022-32894。此漏洞是作業系統內核中的越界寫入漏洞。
內核作為作業系統的核心組件,在 macOS、iPad OS 和 iOS 中擁有最高權限。 應用程式(例如惡意軟體)可利用此漏洞獲以內核權限執行代碼。由於這是最高權限級別,因此該進程將能夠在設備上執行任何命令,從而有效地完全控制設備。
第二個零日漏洞是 CVE-2022-32893,它是 Safari和其他可以訪問網頁的應用程式使用的網絡瀏覽器引擎Web Kit 中的越界寫入漏洞。
Apple表示,該漏洞將允許攻擊者執行任意代碼,並且由於它位於 Web 引擎中,因此很可能通過訪問惡意製作的網站來遠程利用該漏洞。
匿名研究人員報告的了以上漏洞,Apple在iOS 15.6.1、iPad OS 15.6.1和macOS Monterey 12.5.1中通過增強邊界檢查修復了這兩個漏洞。安全機構Immersive Labs的網絡威脅研究主任Kev Breen表示:「這個載體並不罕見,攻擊者還在使用惡意文件和連結,效果很好。」「這強調了,員工要提高技能來警惕此類攻擊。」
受這兩個漏洞影響的設備列表包括:
運行macOS Monterey的Mac;
iPhone 6s及以後的型號;
iPad Pro(所有型號)、iPad Air 2及以後的型號、iPad 5及以後的型號、iPad mini 4及以後的型號還有iPod touch(第7代)。
Apple披露了這兩個漏洞的在野利用,但是沒有發布這些攻擊的任何其他相關信息。
這些零日漏洞可能僅用於有針對性的攻擊,但還是強烈建議儘快安裝今天發布的安全更新。
Apple今年修補了七個零日漏洞
3月份,蘋果修補了另外兩個在Intel Graphics Driver(CVE-2022-22674)和Apple AVD(CVE-2022-22675)中發現的能夠用於以內核權限執行代碼的零日漏洞。
1月份,蘋果也修補了另外兩個被積極利用的零日漏洞,使攻擊者能夠以內核權限 (CVE-2022-22587) 執行任意代碼並實時跟蹤 Web 瀏覽活動和用戶身份 (CVE-2022-22594) )。
2月份,蘋果發布安全更新修復了一個新的零日漏洞。該漏洞被用來入侵iPhone、iPad和Mac,導致在處理惡意製作的網頁內容後,受感染的設備上的作業系統崩潰和遠程執行代碼。
參考連結
https://www.bleepingcomputer.com/news/security/apple-security-updates-fix-2-zero-days-used-to-hack-iphones-macs/