聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
苹果发布安全更新,解决今年以来被用于攻击iPhone和Mac的第8枚0day。
本周一,苹果公司发布安全公告指出,有报告提到该安全缺陷“可能已遭活跃利用”。该漏洞的编号为CVE-2022-32917,可导致恶意构造的应用程序以内核权限执行任意代码。
该漏洞由匿名安全研究员报告,已通过边界检查改进在 iOS 15.7和iPadOS 15.7、macOS Monterey 12.6和 macOS Big Sur 11.7中修复。
受影响的完整设备清单包括:
-
iPhone 6s及后续版本、iPad Pro(所有机型)、iPad Air 2及后续版本、iPad 第5代及后续版本、iPad mini 4及后续版本以及iPod touch(第7代)
-
以及运行macOS Big Sur 11.7和 macOS Monterey 12.6的Mac设备
8月31日,苹果发布额外更新,修复了位于在老旧 iPhone 和 iPad 上运行的iOS 版本上的漏洞(CVE-2022-32894),之后苹果还将此补丁向后兼容到运行 macOS Big Sur 11.7的Mac设备中。
尽管苹果公司披露了该漏洞遭在野活跃利用的情况,但并未发布任何相关攻击信息,从而让尽可能多的客户在攻击者开发exploit并实施攻击前修复。
虽然该0day很可能仅用于高级别攻击中,但仍然强烈建议尽快安装这些安全更新以阻止攻击。
这是苹果公司继今年以来修复的第8个0day:
-
8月,苹果修复了两个0day,它们位于iOS内核(CVE-2022-32894)和WebKit(CVE-2022-32893)中
-
3月,苹果修复了两个0day,它们位于 Intel Graphics Driver(CVE-2022-22674)和AppleAVD(CVE-2022-22675)
-
2月,苹果修复了已被用于攻击iPhone、iPad和 Mac的另外一个 WebKit 0day
-
1月,苹果修复了两个0day,它们可导致以内核权限(CVE-2022-22587)实现代码执行和web浏览活动追踪(CVE-2022-22594)
https://www.bleepingcomputer.com/news/security/apple-fixes-eighth-zero-day-used-to-hack-iphones-and-macs-this-year/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):苹果修复今年以来影响iPhone 和 Mac设备的第8枚0day
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论