苹果紧急修复已遭利用的两个0day
编译:代码卫士
周四,苹果公司紧急更新被用于攻击 iPhone、iPad 和 Mac 的两个0day (CVE-2022-22674和CVE-2022-22675)。
0day 漏洞是指软件厂商没有发现的未修复漏洞。在一些情况下,这些0day 的PoC exploit 可能已遭公开或者遭在野利用。苹果公司发布安全公告指出,注意到一些报告提到这两个漏洞“可能已遭活跃利用”。
CVE-2022-22674是位于 Intel Graphics Driver 中的界外写漏洞,可导致应用读取内核内存;CVE-2022-22675 是位于 AppleAVD 媒体解码器中的界外读漏洞,可使应用以内核权限执行任意代码。
这些漏洞由匿名研究员报告,苹果公司已在 iOS 15.4.1、iPad 15.4.1 和 macOS Monterey 12.3.1 中通过输入验证和边界检查修复了这两个漏洞。
受影响设备包括:
运行 macOS Monterey 的 Mac
iPhone 6s 及后续版本
iPad Pro(所有机型)、iPad Air 2 及后续版本、iPad 第5代及后续版本、iPad mini 4 及后续版本以及 iPod touch(第7代)
苹果披露称这些漏洞已遭在野利用,不过并未发布相关详情。这样做应该是为了让用户尽快应用安全更新以及防止攻击者利用攻击详情再利用它们。
即使这些0day 可能仅用于目标攻击中,但仍然强烈建议用户尽快安装安全更新,拦截潜在的攻击尝试。
1月份,苹果公司还修复了其它两个已遭活跃利用的0day,可导致攻击者以内核权限执行任意代码(CVE-2022-22587)以及实时追踪 web 浏览活动和用户身份 (CVE-2022-22594)。
2月份,苹果公司发布安全更新修复了被用于攻击 iPhone、iPad和 Mac 的新0day,导致恶意构造的 web 内容被处理后,在受陷设备上的OS崩溃和远程代码执行。
以上这三个0day 还影响iPhone(iPhone 6s 及后续版本)、运行macOS Monterey 的Mac 和多个iPad机型。
2021年,苹果公司还不得不应付攻击iOS、iPadOS 和 macOS 的已遭在野利用的永无尽头的多个0day。其中,多个0day 被用于在记者、活动家和政客iPhone 上安装NSO 公司的 Pegasus 间谍软件。
苹果修复已遭利用0day,影响 iPhone、iPad 和 Mac
苹果发布 iOS 和 macOS 更新,修复已遭利用0day
https://www.bleepingcomputer.com/news/security/apple-emergency-update-fixes-zero-days-used-to-hack-iphones-macs/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。