CISA 警告已修补的 iPhone 内核漏洞现已被用于攻击

admin
admin
admin
102800
文章
87
评论
2024年2月2日18:27:32评论14 views字数 988阅读3分17秒阅读模式

CISA 警告已修补的 iPhone 内核漏洞现已被用于攻击

近日,CISA警告称,影响Apple iPhone、Mac电视和手表的已修补内核安全漏洞目前正在被积极利用进行攻击。该漏洞编号为CVE-2022-48618 ,由 Apple 安全研究人员发现,直到1月9日才在2022年12月发布的安全公告更新中披露。
该公司尚未透露该漏洞是否在两年多前首次发布该通报时就已被悄悄修补。本月透露:“具有任意读写能力的攻击者可能能够绕过指针身份验证。”
“Apple 获悉一份报告称,iOS 15.7.1 之前发布的 iOS 版本可能会利用此问题。”
这种不正确的身份验证安全漏洞使攻击者能够绕过指针身份验证,这是一项旨在阻止试图利用内存损坏错误的攻击的安全功能。
Apple 通过改进对运行 iOS 16.2 或更高版本、iPadOS 16.2 或更高版本、macOS Ventura 或更高版本、tvOS 16.2 或更高版本以及 watchOS 9.2 或更高版本的设备的检查来解决该缺陷。
受此主动利用的缺陷影响的设备列表相当广泛,它影响旧型号和新型号,包括:
iPhone 8 及更新机型、iPad Pro(所有型号)、iPad Air 第 3 代及更新机型、iPad 第 5 代及更新机型以及 iPad mini 第 5 代及更新机型运行 macOS Ventura 的 MacApple TV 4K、Apple TV 4K(第 2 代及更高版本)和 Apple TV HD以及 Apple Watch Series 4 及更新机型
联邦机构被勒令在 2 月 21 日之前修复
虽然 Apple尚未分享有关 CVE-2022-48618 主动利用的更多详细信息,但 CISA 已将该漏洞添加到其已知利用的漏洞目录中。
它还命令美国联邦机构按照2021年11月发布的具有约束力的操作指令 ( BOD 22-01 )的要求,在2月21日之前修补该漏洞。
上周,苹果还发布了安全更新,以修补今年第一个在攻击中利用的零日漏洞 (CVE-2024-23222),这是一个 WebKit 混淆问题,攻击者可以利用该漏洞在易受攻击的 iPhone、Mac 和 Apple TV 上获取代码执行权限。
同一天,该公司还向较旧的 iPhone 和 iPad 机型反向移植了另外两个 WebKit 0day补丁,编号为 CVE-2023-42916 和 CVE-2023-42917,并于11月针对较新设备进行了修补。

原文来源:E安全

原文始发于微信公众号(CNCERT国家工程研究中心):CISA 警告已修补的 iPhone 内核漏洞现已被用于攻击

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月2日18:27:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CISA 警告已修补的 iPhone 内核漏洞现已被用于攻击https://cn-sec.com/archives/2462438.html

发表评论

匿名网友 填写信息