聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
苹果公司在安全公告中指出,发现报告称该漏洞“可能已遭活跃利用”。CVE-2022-42827是由匿名安全研究员向苹果发送的一个界外写漏洞,是因为软件写入的数据超出当前的内存缓冲区边界造成的。
该漏洞可导致因后续数据写入缓冲区引发未定义或未预期结果(内存损坏),进而造成数据损坏、应用崩溃或代码执行后果。正如苹果公司解释的钠盐个,如果该漏洞遭成功利用,则可被潜在攻击者以内核权限执行任意代码。
受影响设备的完整清单包括 iPhone 8及后续版本、iPad Pro(所有型号)、iPad Air 第三代及后续版本、iPad 第五代及后续版本以及iPad mini第五代及后续版本。
苹果公司已改进边界检查问题,在iOS 16.1和iPadOS 16 中修复了该0day。
虽然苹果披露称已收到关于该漏洞遭在野利用的报告,但尚未发布相关攻击详情。这样做的目的可能是为苹果客户争取更多的打补丁时间。
尽管该0day 很可能仅用于高针对性攻击活动中,但强烈建议安装当前的安全更新,拦截任意攻击尝试。
这是苹果公司今年以来修复的第9个0day:
-
9月,苹果修复位于iOS 内核中的漏洞 (CVE-2022-32917)
-
8月,苹果修复分别位于iOS内核和WebKit中的漏洞(CVE-2022-32894和CVE-2022-32893)
-
3月,苹果修复位于英特尔图形驱动和AppleAVD中的两个0day(CVE-2022-22674和CVE-2022-22675)
-
2月,苹果发布安全更新,修复了一个WebKit 0day (CVE-2022-22620)
-
1月,苹果修复了两个0day:可通过内核权限实现代码执行的0day (CVE-2022-22587) 和 web 浏览活动追踪的0day (CVE-2022-22594)
https://www.bleepingcomputer.com/news/apple/apple-fixes-new-zero-day-used-in-attacks-against-iphones-ipads/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):苹果修复已遭利用的第9枚0day
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论