苹果发布 iOS 和 macOS 更新,修复已遭利用0day
编译:代码卫士
本周三,苹果公司发布 iOS 15.3 和 macOS Monterey 12.2,修复了两个0day,其中一个已公开(CVE-2022-22587,另外一个已被用于攻击 iPhone 和 Mac(CVE-2022-22584)。
CVE-2022-22587 是位于 IOMobileFrameBuffer 中的内存损坏漏洞,影响 iOS、iPadOS 和 macOS Monterey。如遭成功利用,可导致攻击者在受陷设备以内核权限执行任意代码。
苹果公司指出,该漏洞可能已遭利用。
受影响设备包括:
iPhone 6s 及后续版本、iPad Pro(所有机型)、iPad Air 2及后续版本、iPad第5代及后续版本、iPad mini4 及后续版本以及iPod touch(第7代)
以及macOS Monterey
该漏洞是由一名匿名研究员、MBition 实验室研究员 Meysam Firouzi 以及另外一名研究员 Siddharth Aeri 发现的。Firouzi 和 Aeri 指出他们是各自独立发现这个漏洞的,并未发现遭利用迹象。
第二个0day 位于 iOS 和 iPadOS中,可导致网站实时追踪用户的浏览活动和用户身份。
该漏洞是由 FingerprintJS 公司的研究员 Martin Bajanik 在2021年11月28日发现的,并在2022年1月14日公开。漏洞公开后,获得编号CVE-2022-22584,并在 iOS 15.3和iPadOS 15.3 安全更新中修复。
这两个漏洞是苹果公司在2022年修复的首批0day。
然而,苹果在2021年修复了看似无尽头的0day,它们被用于攻击 iOS 和 macOS 设备。其中多个0day 被用于在记者、活动家和政客的iPhone 上安装 Pegasus 间谍软件。
苹果新漏洞 “Shrootless” 可使攻击者在macOS 系统上安装后门
苹果紧急修复已遭 NSO Group 利用的 iMessage 0day以及另一个0day
【BlackHat】研究员吐槽苹果漏洞奖励计划
苹果修复已遭在野利用的 iOS 和 macOS 0day
https://www.bleepingcomputer.com/news/apple/apple-fixes-new-zero-day-exploited-to-hack-macos-ios-devices/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。