近日,CISA警告称,影响Apple iPhone、Mac电视和手表的已修补内核安全漏洞目前正在被积极利用进行攻击。该漏洞编号为CVE-2022-48618 ,由 Apple 安全研究人员发现,直到1月9日才在2022年12月发布的安全公告更新中披露。
该公司尚未透露该漏洞是否在两年多前首次发布该通报时就已被悄悄修补。本月透露:“具有任意读写能力的攻击者可能能够绕过指针身份验证。”
“Apple 获悉一份报告称,iOS 15.7.1 之前发布的 iOS 版本可能会利用此问题。”
这种不正确的身份验证安全漏洞使攻击者能够绕过指针身份验证,这是一项旨在阻止试图利用内存损坏错误的攻击的安全功能。
Apple 通过改进对运行 iOS 16.2 或更高版本、iPadOS 16.2 或更高版本、macOS Ventura 或更高版本、tvOS 16.2 或更高版本以及 watchOS 9.2 或更高版本的设备的检查来解决该缺陷。
受此主动利用的缺陷影响的设备列表相当广泛,它影响旧型号和新型号,包括:
iPhone 8 及更新机型、iPad Pro(所有型号)、iPad Air 第 3 代及更新机型、iPad 第 5 代及更新机型以及 iPad mini 第 5 代及更新机型运行 macOS Ventura 的 MacApple TV 4K、Apple TV 4K(第 2 代及更高版本)和 Apple TV HD以及 Apple Watch Series 4 及更新机型
虽然 Apple尚未分享有关 CVE-2022-48618 主动利用的更多详细信息,但 CISA 已将该漏洞添加到其已知利用的漏洞目录中。
它还命令美国联邦机构按照2021年11月发布的具有约束力的操作指令 ( BOD 22-01 )的要求,在2月21日之前修补该漏洞。
上周,苹果还发布了安全更新,以修补今年第一个在攻击中利用的零日漏洞 (CVE-2024-23222),这是一个 WebKit 混淆问题,攻击者可以利用该漏洞在易受攻击的 iPhone、Mac 和 Apple TV 上获取代码执行权限。
同一天,该公司还向较旧的 iPhone 和 iPad 机型反向移植了另外两个 WebKit 0day补丁,编号为 CVE-2023-42916 和 CVE-2023-42917,并于11月针对较新设备进行了修补。
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/2462438.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论