Veeam 数据备份修补严重漏洞、Apple 补丁日：iOS、macOS、iPadOS 中的安全漏洞

Veeam 周末宣布了针对影响 Backup & Replication 的两个关键漏洞的补丁，这是一种虚拟环境备份解决方案。

该应用程序为在 Hyper-V、vSphere 和 Nutanix AHV 上运行的虚拟机以及服务器和工作站以及基于云的工作负载提供数据备份和恢复功能。

跟踪为 CVE-2022-26500 和 CVE-2022-26501（CVSS 得分为 9.8），这两个安全漏洞可以被利用来远程执行代码，无需身份验证。

Veeam 分发服务中发现了这些缺陷，该服务默认侦听 TCP 端口 9380，甚至允许未经身份验证的用户访问内部 API 函数。

Veeam Backup & Replication 版本 9.5、10 和 11 受到这两个错误的影响，但仅针对版本10和11发布了补丁。因此，建议仍在使用 9.5 版的用户迁移到受支持的版本。

苹果周一发布了针对其旗舰 iOS/iPadOS 平台中至少 39 个安全缺陷的修复程序，警告称最严重的缺陷可能会使用户面临远程代码执行攻击。

除了移动操作系统的安全改造之外，Apple 还发布了软件更新以解决 macOS（包括 Catalina、Big Sur、Monterey）、tvOS、WatchOS、iTunes 和 Xcode 中的安全漏洞。

如果 iPhone 用户打开恶意 PDF 文件或查看恶意 Web 内容，则记录在案的 39 个 iOS/iPad 漏洞中至少有 5 个可能导致远程代码执行攻击。

根据 Apple 的公告，最新的 iOS 15.4 和 iPadOS 15.4 解决了多个操作系统组件中的多个内存安全问题，包括 Accelerate Framework、经常针对的 ImageIO 和 WebKit 渲染引擎。

记录的漏洞最多的系列：

CVE-2022-22633 - 加速框架 - 通过改进状态管理解决了内存损坏问题。处理恶意制作的图像可能会导致堆损坏

CVE-2022-22611 -- ImageIO -- 通过改进的输入验证解决了越界读取问题。处理恶意制作的图像可能会导致任意代码执行。

CVE-2022-22610 - WebKit - 通过改进状态管理解决了内存损坏问题。处理恶意制作的网页内容可能会导致代码执行。

iOS 和 iPadOS 更新还修复了多个操作系统软件组件中的内存损坏漏洞，包括 AVEVideoEncoder、CoreMedia、FaceTime、GPU 驱动程序、iTunes、内核、沙盒、Siri 和软件更新。

苹果还发布了安全更新 2022-003 (macOS Catalina) 以及 macOS Big Sur 和 macOS Monterey 的补丁。

还发布了针对智能穿戴安全为主题的补丁，以修复 XCode（macOS Monterey 12 及更高版本）以及 tvOS 和 WatchOS 系统中的缺陷。

苹果此次，还发布了适用于 Windows 的新版本 iTunes，以涵盖严重的 WebKit 和 ImageIO 漏洞。

原文始发于微信公众号（祺印说信安）：Veeam 数据备份修补严重漏洞、Apple 补丁日：iOS、macOS、iPadOS 中的安全漏洞