安芯网盾内存安全周报专栏，希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题，防止外部入侵等威胁、有效的对系统进行安全设计，以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

一、苹果进行了安全更新，修复了攻击iPhone的新的iOS零日漏洞（12.13）

在今天发布的安全更新中，苹果修复了今年年初至今的第十个零日漏洞，该漏洞被积极利用来攻击iPhone。

详细情况

在今天发布的安全更新中，苹果修复了今年年初至今的第十个零日漏洞，该漏洞被积极利用来攻击iPhone。OS/iPadOS 15.7.2、Safari 16.2、tvOS 16.2和macOS Ventura 13.1的安全公告中披露了该漏洞，苹果警告说，该漏洞“可能已被积极利用”来攻击此前版本。

该漏洞（CVE-2022-42856）是苹果 Webkit 网络浏览器浏览引擎中的一个类型混淆问题。

谷歌威胁分析小组的Clément Lecigne发现了该漏洞，它利用恶意构造的网页内容内容在有漏洞的设备上执行任意代码。

执行任意代码可能允许恶意站点在操作系统中执行命令、部署其他恶意软件或间谍软件或执行其他恶意操作。

苹果改进以下设备的状态处理来修复该零日漏洞：iPhone 6s（所有型号）、iPhone 7（所有型号）、iPhone SE（第一代）、iPad Pro（所有型号）、iPad Air 2及更高版本、iPad mini 4及更高版本，以及iPod touch（第七代）。

修复iPhone、iPad 和 macOS Ventura。

尽管苹果透露了威胁行为者积极利用了该漏洞，但他们尚未提供有关攻击的任何细节。

延迟提供详细信息通常是为了让用户在其他威胁行为者分析修复程序并开发自己的漏洞之前为其设备打补丁。

尽管这个零日漏洞很可能进行的是有目标的攻击，但还是建议所有人都尽快安装今天的安全更新。

这是苹果自今年年初以来第十个零日：

10月，苹果修复了iOS内核中的零日漏洞（CVE-2022-42827）。

9月，苹果修复了iOS内核中的一个漏洞（CVE-2022-32917）。

8月，它修复了 iOS 内核 (CVE-2022-32894) 和 WebKit (CVE-2022-32893) 中的两个零日漏洞。

3月，苹果修复了英特尔显卡驱动程序（CVE-2022-22674）和AppleAVD（CVE-2022-22675）两个零日漏洞。

2月，苹果发布了安全更新，以修复另一个针对iPhone、iPad和Mac的WebKit零日漏洞。

1月，苹果又修复了两个 “零日”，允许以内核权限执行代码（CVE-2022-22587）和跟踪网页浏览活动（CVE-2022-22594）。

参考链接

https://www.bleepingcomputer.com/news/apple/apple-security-update-fixes-new-ios-zero-day-used-to-hack-iphones/

二、2022年12月份的补丁星期二：来自微软等的最新安全更新（12.14）

科技巨头微软发布了2022年的最后一组月度安全更新，修复了其软件产品中的49个漏洞。

详细情况

在这49个漏洞中，有6个被评为严重，40个被评为重要，3个被评为中等。自本月初以来，除了这些更新之外，基于 Chromium 的 Edge 浏览器已经修复了 24 个漏洞。

12 月的补丁日星期二修复了两个零日漏洞，一个已被积极利用，另一个在发布时在公开披露的漏洞之列。

前者与 CVE-2022-44698 相关（CVSS得分：5.4），是Windows SmartScreen 中的三个安全绕过漏洞之一，这三个漏洞可以帮助恶意行为者逃避 Web标记（MotW）保护。

公开披露但未被积极利用的是 CVE-2022-44710（CVSS得分：7.8），是 DirectX 图形内核中的提权漏洞，可能使攻击者获得系统权限。

微软在一份公告中指出：“攻击者获得竞态条件后才能成功利用此漏洞”。

微软还修复了Microsoft Dynamics NAV，Microsoft SharePoint Server，PowerShell，Windows安全套接字隧道协议（SSTP），.NET Framework，Contacts和Terminal中的多个远程代码执行错误。

此外，此更新还解决了 Microsoft Office Graphics、OneNote 和 Visio 中的 11 个远程代码执行漏洞，所有这些漏洞在CVSS评分系统中的评级均为 7.8。

本月修复的19个特权提升漏洞中有两个对 Windows Print Spooler组件进行了修复（CVE-2022-44678 和 CVE-2022-44681，CVSS 得分：7.8）。

最后，Microsoft标记PowerShell 远程执行代码漏洞（CVE-2022-41076，CVSS得分：8.5） 和 Windows 系统权限提升缺陷（CVE-2022-44704，CVSS得分：7.8）为“更有可能利用”，因此用户必须进行更新来缓解潜在威胁。

参考链接

https://thehackernews.com/2022/12/december-2022-patch-tuesday-get-latest.html