Apple产品中发现新的被积极利用的零日漏洞

Apple 周二推出了 iOS、iPadOS、macOS、tvOS 和 Safari 网络浏览器的安全更新，以解决可能导致恶意代码执行的新零日漏洞。

该问题被追踪为CVE-2022-42856，该技术巨头已将该问题描述为 WebKit 浏览器引擎中的类型混淆问题，在处理特制内容时可能会触发该问题，从而导致任意代码执行。

该公司表示，它“注意到一份报告称，这个问题可能已被针对 iOS 15.1 之前发布的 iOS 版本积极利用。”

虽然围绕攻击的确切性质的详细信息尚不清楚，但它很可能涉及社会工程或水坑案例，以便在通过浏览器访问流氓或合法但受损的域时感染设备。

值得注意的是，由于 Apple 施加的限制，适用于 iOS 和 iPadOS 的所有第三方网络浏览器（包括 Google Chrome、Mozilla Firefox 和 Microsoft Edge 等）都需要使用 WebKit 渲染引擎。

Google 威胁分析小组 (TAG) 的 Clément Lecigne 发现并报告了该问题。Apple 指出它通过改进状态处理解决了该错误。该更新适用于iOS 15.7.2、iPadOS 15.7.2、macOS Ventura 13.1、tvOS 16.2和Safari 16.2 ，在 Apple 于2022 年 11 月 30 日修补了iOS 16.1.2中的相同错误两周后到达。

该修复程序标志着自今年年初以来在 Apple 软件中发现的第十个零日漏洞已得到解决。这也是 2022 年第九个被积极利用的零日漏洞——

• CVE-2022-22587 (IOMobileFrameBuffer) – 恶意应用程序可能能够使用内核权限执行任意代码

• CVE-2022-22594 (WebKit Storage) – 网站可能能够跟踪敏感的用户信息（众所周知但未被积极利用）

• CVE-2022-22620 (WebKit) – 处理恶意制作的网页内容可能导致任意代码执行

• CVE-2022-22674（英特尔显卡驱动程序）——应用程序可能能够读取内核内存

• CVE-2022-22675 (AppleAVD) – 应用程序可能能够使用内核权限执行任意代码

• CVE-2022-32893 (WebKit) – 处理恶意制作的网页内容可能导致任意代码执行

• CVE-2022-32894（内核）——应用程序可能能够使用内核权限执行任意代码

• CVE-2022-32917（内核）——应用程序可能能够使用内核权限执行任意代码

• CVE-2022-42827（内核）——应用程序可能能够使用内核权限执行任意代码

最新的iOS、iPadOS和macOS更新还引入了一项称为iCloud 高级数据保护的新安全功能，可将端到端加密 (E2EE) 扩展到 iCloud 备份、备忘录、照片等。

原文始发于微信公众号（河南等级保护测评）：Apple产品中发现新的被积极利用的零日漏洞