聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
CVE-2022-22587 是位于 IOMobileFrameBuffer 中的内存损坏漏洞,影响 iOS、iPadOS 和 macOS Monterey。如遭成功利用,可导致攻击者在受陷设备以内核权限执行任意代码。
苹果公司指出,该漏洞可能已遭利用。
受影响设备包括:
-
iPhone 6s 及后续版本、iPad Pro(所有机型)、iPad Air 2及后续版本、iPad第5代及后续版本、iPad mini4 及后续版本以及iPod touch(第7代)
-
以及macOS Monterey
该漏洞是由一名匿名研究员、MBition 实验室研究员 Meysam Firouzi 以及另外一名研究员 Siddharth Aeri 发现的。Firouzi 和 Aeri 指出他们是各自独立发现这个漏洞的,并未发现遭利用迹象。
第二个0day 位于 iOS 和 iPadOS中,可导致网站实时追踪用户的浏览活动和用户身份。
该漏洞是由 FingerprintJS 公司的研究员 Martin Bajanik 在2021年11月28日发现的,并在2022年1月14日公开。漏洞公开后,获得编号CVE-2022-22584,并在 iOS 15.3和iPadOS 15.3 安全更新中修复。
这两个漏洞是苹果公司在2022年修复的首批0day。
然而,苹果在2021年修复了看似无尽头的0day,它们被用于攻击 iOS 和 macOS 设备。其中多个0day 被用于在记者、活动家和政客的iPhone 上安装 Pegasus 间谍软件。
https://www.bleepingcomputer.com/news/apple/apple-fixes-new-zero-day-exploited-to-hack-macos-ios-devices/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):苹果发布 iOS 和 macOS 更新,修复已遭利用0day
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论