Apple 周二推出了 iOS、iPadOS、macOS、tvOS 和 Safari 网络浏览器的安全更新,以解决可能导致恶意代码执行的新零日漏洞。
该问题被追踪为CVE-2022-42856,该技术巨头已将该问题描述为 WebKit 浏览器引擎中的类型混淆问题,在处理特制内容时可能会触发该问题,从而导致任意代码执行。
该公司表示,它“注意到一份报告称,这个问题可能已被针对 iOS 15.1 之前发布的 iOS 版本积极利用。”
虽然围绕攻击的确切性质的详细信息尚不清楚,但它很可能涉及社会工程或水坑案例,以便在通过浏览器访问流氓或合法但受损的域时感染设备。
值得注意的是,由于 Apple 施加的限制,适用于 iOS 和 iPadOS 的所有第三方网络浏览器(包括 Google Chrome、Mozilla Firefox 和 Microsoft Edge 等)都需要使用 WebKit 渲染引擎。
Google 威胁分析小组 (TAG) 的 Clément Lecigne 发现并报告了该问题。Apple 指出它通过改进状态处理解决了该错误。该更新适用于iOS 15.7.2、iPadOS 15.7.2、macOS Ventura 13.1、tvOS 16.2和Safari 16.2 ,在 Apple 于2022 年 11 月 30 日修补了iOS 16.1.2中的相同错误两周后到达。
该修复程序标志着自今年年初以来在 Apple 软件中发现的第十个零日漏洞已得到解决。这也是 2022 年第九个被积极利用的零日漏洞——
-
CVE-2022-22587 (IOMobileFrameBuffer) – 恶意应用程序可能能够使用内核权限执行任意代码
-
CVE-2022-22594 (WebKit Storage) – 网站可能能够跟踪敏感的用户信息(众所周知但未被积极利用)
-
CVE-2022-22620 (WebKit) – 处理恶意制作的网页内容可能导致任意代码执行
-
CVE-2022-22674(英特尔显卡驱动程序)——应用程序可能能够读取内核内存
-
CVE-2022-22675 (AppleAVD) – 应用程序可能能够使用内核权限执行任意代码
-
CVE-2022-32893 (WebKit) – 处理恶意制作的网页内容可能导致任意代码执行
-
CVE-2022-32894(内核)——应用程序可能能够使用内核权限执行任意代码
-
CVE-2022-32917(内核)——应用程序可能能够使用内核权限执行任意代码
-
CVE-2022-42827(内核)——应用程序可能能够使用内核权限执行任意代码
最新的iOS、iPadOS和macOS更新还引入了一项称为iCloud 高级数据保护的新安全功能,可将端到端加密 (E2EE) 扩展到 iCloud 备份、备忘录、照片等。
原文始发于微信公众号(河南等级保护测评):Apple产品中发现新的被积极利用的零日漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论