聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
苹果表示,CVE-2022-42856 是一个位于 WebKit 浏览器引擎中的类型混淆漏洞,当处理特殊构造的内容时可被触发,导致任意代码执行后果。苹果公司表示,目前“发现有报告称该漏洞可能已被活跃利用与 iOS 15.1之前的版本中。”
虽然目前尚不清楚该攻击的确切性质,但可能牵涉攻击者通过浏览器访问恶意域名或合法但被攻陷域名时,感染设备的社工或水坑攻击。
值得注意的是,按照苹果出台的限制条件,适用于iOS 和 iPadOS 的每个第三方web 浏览器,包括谷歌Chrome、Mozilla Firefox和微软Edge 等都必须使用该WebKit 渲染引擎。
该漏洞是由谷歌公司威胁分析团队的研究员Clément Lecigne 发现的。苹果公司在11月30日修复iOS 16.1.2中的同样漏洞后,该安全更新已适用于iOS 15.7.2、iPadOS 15.7.2、macOS Ventura 13.1、tvOS 16.2和Safari 16.2。
这是今年以来苹果软件中出现的第10个0day,也是今年已遭活跃利用的第9个0day:
-
CVE-2022-22587 (IOMobileFrameBuffer) – 恶意应用可以内核权限执行任意代码
-
CVE-2022-22594 (WebKit Storage) – 网站可追踪用户敏感信息(公开已知但未遭活跃利用)
-
CVE-2022-22620 (WebKit) – 处理恶意构造的web内容可导致任意代码执行
-
CVE-2022-22674 (Intel Graphics Driver) – 应用程序可读取内核内存
-
CVE-2022-22675 (AppleAVD) – 应用程序可以内核权限执行任意代码
-
CVE-2022-32893 (WebKit) – 处理恶意构造的web内容可导致任意代码执行后果
-
CVE-2022-32894 (Kernel) – 应用程序可以内核权限执行任意代码
-
CVE-2022-32917 (Kernel) – 应用程序可以内核权限执行任意代码
-
CVE-2022-42827 (Kernel) – 应用程序可以内核权限执行任意代码
最新的 iOS、iPadOS 和macOS 更新中还引入新的安全特性Advanced Data Protection for iCloud,将端对端加密扩展到 iCloud Backup、Notes、Photos等产品中。
https://thehackernews.com/2022/12/new-actively-exploited-zero-day.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):苹果修复已遭利用的第10个0day
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论