苹果修复已遭利用的第9枚0day

admin 2022年10月26日09:13:56评论57 views字数 1348阅读4分29秒阅读模式

苹果修复已遭利用的第9枚0day 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士




周一,苹果发布安全更新,修复了今年以来的第9个0day。该0day的编号是CVE-2022-42827,针对的是iPhone 和 iPad。


苹果公司在安全公告中指出,发现报告称该漏洞“可能已遭活跃利用”。CVE-2022-42827是由匿名安全研究员向苹果发送的一个界外写漏洞,是因为软件写入的数据超出当前的内存缓冲区边界造成的。

该漏洞可导致因后续数据写入缓冲区引发未定义或未预期结果(内存损坏),进而造成数据损坏、应用崩溃或代码执行后果。正如苹果公司解释的钠盐个,如果该漏洞遭成功利用,则可被潜在攻击者以内核权限执行任意代码。

受影响设备的完整清单包括 iPhone 8及后续版本、iPad Pro(所有型号)、iPad Air 第三代及后续版本、iPad 第五代及后续版本以及iPad mini第五代及后续版本。

苹果公司已改进边界检查问题,在iOS 16.1和iPadOS 16 中修复了该0day。


苹果修复已遭利用的第9枚0day
修复iPhone 和 iPad


虽然苹果披露称已收到关于该漏洞遭在野利用的报告,但尚未发布相关攻击详情。这样做的目的可能是为苹果客户争取更多的打补丁时间。

尽管该0day 很可能仅用于高针对性攻击活动中,但强烈建议安装当前的安全更新,拦截任意攻击尝试。

这是苹果公司今年以来修复的第9个0day:

  • 9月,苹果修复位于iOS 内核中的漏洞 (CVE-2022-32917)

  • 8月,苹果修复分别位于iOS内核和WebKit中的漏洞(CVE-2022-32894和CVE-2022-32893)

  • 3月,苹果修复位于英特尔图形驱动和AppleAVD中的两个0day(CVE-2022-22674和CVE-2022-22675)

  • 2月,苹果发布安全更新,修复了一个WebKit 0day (CVE-2022-22620)

  • 1月,苹果修复了两个0day:可通过内核权限实现代码执行的0day (CVE-2022-22587) 和 web 浏览活动追踪的0day (CVE-2022-22594)


代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

数千个恶意仓库克隆传播恶意软件,GitHub正在调查
坐火车太无聊,我溜入微软 VS Code官方GitHub仓库,但没敢发动供应链攻击
Repo Jacking:依赖关系仓库劫持漏洞,影响谷歌GitHub等7万多个开源项目的供应链
速查是否中招!攻击者正在擦除 GitHub 和 GitLab 仓库还有 Bitbucket并实施勒索!



原文链接

https://www.bleepingcomputer.com/news/apple/apple-fixes-new-zero-day-used-in-attacks-against-iphones-ipads/


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




苹果修复已遭利用的第9枚0day
苹果修复已遭利用的第9枚0day

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   苹果修复已遭利用的第9枚0day 觉得不错,就点个 “在看” 或 "” 吧~

原文始发于微信公众号(代码卫士):苹果修复已遭利用的第9枚0day

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月26日09:13:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   苹果修复已遭利用的第9枚0dayhttps://cn-sec.com/archives/1371547.html

发表评论

匿名网友 填写信息