聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该0day 的编号是 CVE-2022-22620,是一个 WebKit 释放后使用漏洞,可导致操作系统崩溃以及在受陷设备上执行代码。成功利用该漏洞可导致攻击者在处理恶意构造的 web 内容后,在运行易受攻击 iOS 和 iPadOS 的 iPhone 和 iPad 上执行任意代码。
苹果公司指出,“苹果公司了解到该漏洞可能已遭活跃利用的报告。”苹果公司改进 iOS 15.3.1和 macOS Monterey 12.2.1中的内存管理并分配编号CVE-2022-22620。
受影响设备数量庞大,因为该漏洞还影响更老旧和更新版本的模块,包括:
-
iPhone 6s 及后续版本
-
iPad Pro(所有模块)、iPad Air 2 及后续版本、iPad第五代及后续版本、iPad mini 4及后续版本以及iPod touch (第7代)
-
运行 macOS Monterey 的 Mac 机器
尽管该 0day 可能仅用于针对性攻击中,但仍然强烈建议用户尽快安装更新,以免遭受攻击。
1月份,苹果公司修复了遭在野利用的另外两个0day,它们可导致攻击者以内核权限执行任意代码(CVE-2022-22587)并实时追踪浏览历史以及用户身份(CVE-2022-22594)。
这两个0day 影响iPhone(iPhone 6s 及后续版本)、运行 macOS Monterey 的 Mac 机器以及多个 iPad 记性。
虽然2022年以来苹果公司仅修复了3个0day,但该公司几乎一直在处理被用于攻击 iOS、iPadOS 和 macOS 设备的一连串0day。其中包括用于在记者、活动家和政客iPhone 手机上安装 NSO 公司的 Pegasus 监控软件。
https://www.bleepingcomputer.com/news/security/apple-patches-new-zero-day-exploited-to-hack-iphones-ipads-macs/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):苹果修复已遭利用0day,影响 iPhone、iPad 和 Mac
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论