苹果公司已经发布了安全更新,以解决自今年年初以来在针对iPhone和Mac的攻击中使用的第八个0day漏洞。在周一发布的安全公告中,苹果公司透露他们知道有报告说这个安全漏洞"可能已经被积极利用"。该漏洞(被追踪为CVE-2022-32917)可能允许恶意制作的应用程序以内核权限执行任意代码。
一位匿名研究人员向苹果公司报告,它在iOS 15.7和iPadOS 15.7、macOS Monterey 12.6和macOS Big Sur 11.7中得到解决,并改进了防范工作。
受影响设备的完整列表包括:
iPhone 6s及以后版本、iPad Pro(所有型号)、iPad Air 2及以后版本、iPad第五代及以后版本、iPad mini 4及以后版本、iPodtouch(第七代)以及运行macOS Big Sur 11.7和macOS Monterey 12.6的Mac。
在8月31日发布额外的安全更新以解决在旧版iPhone和iPad上运行的iOS版本的相同错误之后,苹果还向运行macOS Big Sur 11.7的Mac回传了另一个0day(CVE-2022-32894)的补丁。
虽然苹果公司披露了这个漏洞已经在外部被积极利用,但该公司尚未发布有关这些攻击的任何信息。通过拒绝发布这些信息,苹果很可能想让尽可能多的客户在其他攻击者开发出自己的漏洞并开始在针对易受攻击的iPhone和Mac的攻击中部署补丁。
虽然这个0day漏洞很可能只被用于高度针对性的攻击,但仍强烈建议尽快安装这些安全更新以阻止攻击企图。这是自今年年初以来苹果公司修复的第八个0day。
8月,苹果修补了iOS内核(CVE-2022-32894)和WebKit(CVE-2022-32893)中的两个0day漏洞。
3月,苹果修补了英特尔图形驱动程序(CVE-2022-22674)和AppleAVD(CVE-2022-22675)中的两个0day漏洞。
2月,苹果公司发布安全更新,修复了另一个在针对iPhone、iPad和Mac的攻击中被利用的WebKit0day漏洞。
今年1月,苹果公司修复了另外两个被利用的0day漏洞,这两个漏洞允许以内核权限执行代码(CVE-2022-22587)和网页浏览活动跟踪(CVE-2022-22594)。
了解更多:
https://support.apple.com/en-us/HT201222