記憶體安全週報第105期 | Apple安全更新修復了2個用於入侵iPhone、Mac 的零日漏洞

安芯網盾發表於2022-08-22

Apple安全更新修復了2個用於入侵iPhone、Mac 的零日漏洞(8.17) 

Apple今天釋出了緊急安全更新,以用於修復之前被攻擊者用來入侵iPhone、iPad或Mac的兩個零日漏洞。 

詳細情況 

零日漏洞是在軟體供應商發現前或能夠進行修補之前,就已被攻擊者或研究員發現的安全漏洞。許多情況下,零日漏洞有公開的概念驗證利用或在攻擊中被積極利用。 

今天,蘋果釋出了macOS Monterey 12.5.1和iOS 15.6.1/iPad OS 15.6.1,以解決據報導已被積極利用的兩個零日漏洞。 

這兩個漏洞對於所有三個作業系統都是相同的,第一個漏洞被跟蹤為 CVE-2022-32894。此漏洞是作業系統核心中的越界寫入漏洞。 

核心作為作業系統的核心元件,在 macOS、iPad OS 和 iOS 中擁有最高許可權。 應用程式(例如惡意軟體)可利用此漏洞獲以核心許可權執行程式碼。由於這是最高許可權級別,因此該程式將能夠在裝置上執行任何命令,從而有效地完全控制裝置。 

第二個零日漏洞是 CVE-2022-32893,它是 Safari和其他可以訪問網頁的應用程式使用的網路瀏覽器引擎Web Kit 中的越界寫入漏洞。 

Apple表示,該漏洞將允許攻擊者執行任意程式碼,並且由於它位於 Web 引擎中,因此很可能透過訪問惡意製作的網站來遠端利用該漏洞。 

匿名研究人員報告的了以上漏洞,Apple在iOS 15.6.1、iPad OS 15.6.1和macOS Monterey 12.5.1中透過增強邊界檢查修復了這兩個漏洞。安全機構Immersive Labs的網路威脅研究主任Kev Breen表示:“這個載體並不罕見,攻擊者還在使用惡意檔案和連結,效果很好。”“這強調了,員工要提高技能來警惕此類攻擊。” 

受這兩個漏洞影響的裝置列表包括: 

執行macOS Monterey的Mac; 

iPhone 6s及以後的型號; 

iPad Pro(所有型號)、iPad Air 2及以後的型號、iPad 5及以後的型號、iPad mini 4及以後的型號還有iPod touch(第7代)。 

Apple披露了這兩個漏洞的在野利用,但是沒有釋出這些攻擊的任何其他相關資訊。 

這些零日漏洞可能僅用於有針對性的攻擊,但還是強烈建議儘快安裝今天釋出的安全更新。 

Apple今年修補了七個零日漏洞

3月份,蘋果修補了另外兩個在Intel Graphics Driver(CVE-2022-22674)和Apple AVD(CVE-2022-22675)中發現的能夠用於以核心許可權執行程式碼的零日漏洞。 

1月份,蘋果也修補了另外兩個被積極利用的零日漏洞,使攻擊者能夠以核心許可權 (CVE-2022-22587) 執行任意程式碼並實時跟蹤 Web 瀏覽活動和使用者身份 (CVE-2022-22594) )。 

2月份,蘋果釋出安全更新修復了一個新的零日漏洞。該漏洞被用來入侵iPhone、iPad和Mac,導致在處理惡意製作的網頁內容後,受感染的裝置上的作業系統崩潰和遠端執行程式碼。 

參考連結

https://www.bleepingcomputer.com/news/security/apple-security-updates-fix-2-zero-days-used-to-hack-iphones-macs/

相關文章