蘋果公司週四釋出了安全更新,以解決攻擊者利用的兩個零日漏洞來入侵iPhone,iPad和Mac。
零日安全漏洞是軟體供應商不知道且尚未修補的漏洞。在某些情況下,它們還具有公開可用的概念驗證漏洞,或者可能在野外被積極利用。
在今天釋出的安全公告中,蘋果表示,他們知道有報道稱這些問題“可能已被積極利用”。
這兩個缺陷是英特爾顯示卡驅動程式中的越界寫入問題 (CVE-2022-22674),允許應用程式讀取核心記憶體,以及 AppleAVD 媒體解碼器中的越界讀取問題 (CVE-2022-22675),這將使應用程式能夠以核心許可權執行任意程式碼。
這些錯誤由匿名研究人員報告,並由Apple在iOS 15。4。1,iPadOS 15。4。1和macOS Monterey 12。3。1中修復,分別改進了輸入驗證和邊界檢查。
受影響的裝置列表包括:
執行 macOS 蒙特雷的 Mac
iPhone 6s 及更高版本
iPad Pro(所有機型)、iPad Air 2 及更高版本、iPad 第 5 代及更高版本、iPad mini 4 及更高版本以及 iPod touch(第 7 代)。
蘋果披露了野外的活躍利用,但是,它沒有釋出有關這些攻擊的任何其他資訊。
隱瞞這些資訊可能是為了讓安全更新在威脅行為者掌握細節並開始濫用現已修補的零日之前,將安全更新覆蓋儘可能多的iPhone,iPad和Mac。
儘管這些零日可能僅用於針對性攻擊,但仍強烈建議您儘快安裝今天的安全更新,以阻止潛在的攻擊企圖。
蘋果今年修補的五個零日
今年1月,Apple修補了另外兩個被積極利用的零日漏洞,使攻擊者能夠利用核心許可權實現任意程式碼執行(CVE-2022-22587),並實時跟蹤Web瀏覽活動和使用者身份(CVE-2022-22594)。
今年 2 月,Apple 釋出了安全更新,以修復一個新的零日漏洞,該漏洞被利用來入侵 iPhone、iPad 和 Mac,導致作業系統崩潰,並在處理惡意製作的 Web 內容後在受損裝置上遠端執行程式碼。
