蘋果公司已經發布了安全更新,以解決自今年年初以來在針對iPhone和Mac的攻擊中使用的第八個0day漏洞。在周一發布的安全公告中,蘋果公司透露他們知道有報告說這個安全漏洞”可能已經被積極利用”。該漏洞(被追蹤為CVE-2022-32917)可能允許惡意製作的應用程序以內核權限執行任意代碼。
一位匿名研究人員向蘋果公司報告,它在iOS 15.7和iPadOS 15.7、macOS Monterey 12.6和macOS Big Sur 11.7中得到解決,並改進了防範工作。
受影響設備的完整列表包括:
iPhone 6s及以後版本、iPad Pro(所有型號)、iPad Air 2及以後版本、iPad第五代及以後版本、iPad mini 4及以後版本、iPod touch(第七代)以及運行macOS Big Sur 11.7和macOS Monterey 12.6的Mac。
在8月31日發布額外的安全更新以解決在舊版iPhone和iPad上運行的iOS版本的相同錯誤之後,蘋果還向運行macOS Big Sur 11.7的Mac回傳了另一個0day(CVE-2022-32894)的補丁。
雖然蘋果公司披露了這個漏洞已經在外部被積極利用,但該公司尚未發布有關這些攻擊的任何信息。通過拒絕發布這些信息,蘋果很可能想讓儘可能多的客戶在其他攻擊者開發出自己的漏洞並開始在針對易受攻擊的iPhone和Mac的攻擊中部署補丁。
雖然這個0day漏洞很可能只被用於高度針對性的攻擊,但仍強烈建議儘快安裝這些安全更新以阻止攻擊企圖。這是自今年年初以來蘋果公司修復的第八個0day。
8月,蘋果修補了iOS內核(CVE-2022-32894)和WebKit(CVE-2022-32893)中的兩個0day漏洞。
3月,蘋果修補了英特爾圖形驅動程序(CVE-2022-22674)和AppleAVD(CVE-2022-22675)中的兩個0day漏洞。
2月,蘋果公司發布安全更新,修復了另一個在針對iPhone、iPad和Mac的攻擊中被利用的WebKit0day漏洞。
今年1月,蘋果公司修復了另外兩個被利用的0day漏洞,這兩個漏洞允許以內核權限執行代碼(CVE-2022-22587)和網頁瀏覽活動跟蹤(CVE-2022-22594)。
了解更多:
https://support.apple.com/en-us/HT201222