内存安全周报第105期 | Apple安全更新修复了2个用于入侵iPhone、Mac 的零日漏洞
安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。
Apple安全更新修复了2个用于入侵iPhone、Mac 的零日漏洞(8.17)
Apple今天发布了紧急安全更新,以用于修复之前被攻击者用来入侵iPhone、iPad或Mac的两个零日漏洞。
详细情况
零日漏洞是在软件供应商发现前或能够进行修补之前,就已被攻击者或研究员发现的安全漏洞。许多情况下,零日漏洞有公开的概念验证利用或在攻击中被积极利用。
今天,苹果发布了macOS Monterey 12.5.1和iOS 15.6.1/iPad OS 15.6.1,以解决据报道已被积极利用的两个零日漏洞。
这两个漏洞对于所有三个操作系统都是相同的,第一个漏洞被跟踪为 CVE-2022-32894。 此漏洞是操作系统内核中的越界写入漏洞。
内核作为操作系统的核心组件,在 macOS、iPad OS 和 iOS 中拥有最高权限。
应用程序(例如恶意软件)可利用此漏洞获以内核权限执行代码。由于这是最高权限级别,因此该进程将能够在设备上执行任何命令,从而有效地完全控制设备。
第二个零日漏洞是 CVE-2022-32893,它是 Safari和其他可以访问网页的应用程序使用的网络浏览器引擎Web Kit 中的越界写入漏洞。
Apple表示,该漏洞将允许攻击者执行任意代码,并且由于它位于 Web 引擎中,因此很可能通过访问恶意制作的网站来远程利用该漏洞。
匿名研究人员报告的了以上漏洞,Apple在iOS 15.6.1、iPad OS 15.6.1和macOS Monterey 12.5.1中通过增强边界检查修复了这两个漏洞。
受这两个漏洞影响的设备列表包括:
运行macOS Monterey的Mac;
iPhone 6s及以后的型号;
iPad Pro(所有型号)、iPad Air 2及以后的型号、iPad 5及以后的型号、iPad mini 4及以后的型号还有iPod touch(第7代)。
Apple披露了这两个漏洞的在野利用,但是没有发布这些攻击的任何其他相关信息。
这些零日漏洞可能仅用于有针对性的攻击,但还是强烈建议尽快安装今天发布的安全更新。
3月份,苹果修补了另外两个在Intel Graphics Driver(CVE-2022-22674)和Apple AVD(CVE-2022-22675)中发现的能够用于以内核权限执行代码的零日漏洞。
1月份,苹果也修补了另外两个被积极利用的零日漏洞,使攻击者能够以内核权限 (CVE-2022-22587) 执行任意代码并实时跟踪 Web 浏览活动和用户身份 (CVE-2022-22594) )。
2月份,苹果发布安全更新修复了一个新的零日漏洞。该漏洞被用来入侵iPhone、iPad和Mac,导致在处理恶意制作的网页内容后,受感染的设备上的操作系统崩溃和远程执行代码。
参考链接
