苹果修复今年以来影响iPhone 和 Mac设备的第8枚0day

苹果发布安全更新，解决今年以来被用于攻击iPhone和Mac的第8枚0day。

本周一，苹果公司发布安全公告指出，有报告提到该安全缺陷“可能已遭活跃利用”。该漏洞的编号为CVE-2022-32917，可导致恶意构造的应用程序以内核权限执行任意代码。

该漏洞由匿名安全研究员报告，已通过边界检查改进在 iOS 15.7和iPadOS 15.7、macOS Monterey 12.6和 macOS Big Sur 11.7中修复。

受影响的完整设备清单包括：

• iPhone 6s及后续版本、iPad Pro（所有机型）、iPad Air 2及后续版本、iPad 第5代及后续版本、iPad mini 4及后续版本以及iPod touch（第7代）

• 以及运行macOS Big Sur 11.7和 macOS Monterey 12.6的Mac设备

8月31日，苹果发布额外更新，修复了位于在老旧 iPhone 和 iPad 上运行的iOS 版本上的漏洞（CVE-2022-32894），之后苹果还将此补丁向后兼容到运行 macOS Big Sur 11.7的Mac设备中。

尽管苹果公司披露了该漏洞遭在野活跃利用的情况，但并未发布任何相关攻击信息，从而让尽可能多的客户在攻击者开发exploit并实施攻击前修复。

虽然该0day很可能仅用于高级别攻击中，但仍然强烈建议尽快安装这些安全更新以阻止攻击。

这是苹果公司继今年以来修复的第8个0day：

• 8月，苹果修复了两个0day，它们位于iOS内核（CVE-2022-32894）和WebKit（CVE-2022-32893）中

• 3月，苹果修复了两个0day，它们位于 Intel Graphics Driver（CVE-2022-22674）和AppleAVD（CVE-2022-22675）

• 2月，苹果修复了已被用于攻击iPhone、iPad和 Mac的另外一个 WebKit 0day

• 1月，苹果修复了两个0day，它们可导致以内核权限（CVE-2022-22587）实现代码执行和web浏览活动追踪（CVE-2022-22594）

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。