蘋果公司已經發佈安全更新,以解決自今年年初以來在針對iPhone和Mac的攻擊中使用的第八個0day漏洞。在周一發佈的安全公告中,蘋果公司透露他們知道有報告說這個安全漏洞"可能已經被積極利用"。該漏洞(被追蹤為CVE-2022-32917)可能允許惡意制作的應用程序以內核權限執行任意代碼。
一位匿名研究人員向蘋果公司報告,它在iOS 15.7和iPadOS 15.7、macOS Monterey 12.6和macOS Big Sur 11.7中得到解決,並改進防范工作。
受影響設備的完整列表包括:
iPhone 6s及以後版本、iPad Pro(所有型號)、iPad Air 2及以後版本、iPad第五代及以後版本、iPad mini 4及以後版本、iPod touch(第七代)以及運行macOS Big Sur 11.7和macOS Monterey 12.6的Mac。
在8月31日發佈額外的安全更新以解決在舊版iPhone和iPad上運行的iOS版本的相同錯誤之後,蘋果還向運行macOS Big Sur 11.7的Mac回傳另一個0day(CVE-2022-32894)的補丁。
雖然蘋果公司披露這個漏洞已經在外部被積極利用,但該公司尚未發佈有關這些攻擊的任何信息。通過拒絕發佈這些信息,蘋果很可能想讓盡可能多的客戶在其他攻擊者開發出自己的漏洞並開始在針對易受攻擊的iPhone和Mac的攻擊中部署補丁。
雖然這個0day漏洞很可能隻被用於高度針對性的攻擊,但仍強烈建議盡快安裝這些安全更新以阻止攻擊企圖。這是自今年年初以來蘋果公司修復的第八個0day。
8月,蘋果修補iOS內核(CVE-2022-32894)和WebKit(CVE-2022-32893)中的兩個0day漏洞。
3月,蘋果修補英特爾圖形驅動程序(CVE-2022-22674)和AppleAVD(CVE-2022-22675)中的兩個0day漏洞。
2月,蘋果公司發佈安全更新,修復另一個在針對iPhone、iPad和Mac的攻擊中被利用的WebKit0day漏洞。
今年1月,蘋果公司修復另外兩個被利用的0day漏洞,這兩個漏洞允許以內核權限執行代碼(CVE-2022-22587)和網頁瀏覽活動跟蹤(CVE-2022-22594)。
解更多:
https://support.apple.com/en-us/HT201222