Apple最近为旧款iPhone以及iPad推送了安全性更新,修复了一个已知且已经被人利用的零日漏洞。
这个代号为CVE-2022-42827的漏洞如果利用得当,可以让攻击者以内核特权来执行任意代码。这是一个属于跨界写入(Out-of-Bounds Write)的漏洞,是由匿名的研究员向Apple报告,是由于软件能够在内存缓存界限外写入数据而导致。这可以引起数据损毁或程序崩溃,以及由未定义或顺序缓存数据写入未预期结果而导致的代码执行。
Apple在今个星期就推出了iOS 15.7.1以及iPadOS 15.7.1更新,当中就包括了对界限检查的改善。这次受到影响的设备包括iPhone 6s或更新的机型、全系iPad Pro、iPad Air 2或更新的机型、第5代iPad或更新的机型、iPad mini 4及第7代iPod touch。
虽然这个零日漏洞大概率只会被用来有针对性的攻击上,但建议旧设备用户最好还是安装更新,来避免潜在的攻击风险。
Apple表示,这个安全漏洞“或已被主动利用”,不过直至目前仍然没有公布相关的攻击详情。美国CISA也在几天前把这个零日漏洞加入至已知被利用的漏洞列表当中。
截至目前为止,Apple今年已经修复了9个零日漏洞,分别是内核特权任意代码执行漏洞CVE-2022-22587、浏览痕迹追踪漏洞CVE-2022-22594、Webkit漏洞CVE-2022-22620等、Intel驱动漏洞CVE-2022-22674、AppleAVE漏洞CVE-2022-22675、iOS系统内核漏洞CVE-2022-32894、另一个Webkit漏洞CVE-2022-32893以及另一个iOS内来漏洞CVE-2022-32917。
林德琛一代宗师 2022-10-28 16:21 | 加入黑名单
已有1次举报支持(1) | 反对(0) | 举报 | 回复
2#
fanzhiyue研究生 2022-10-28 13:51 | 加入黑名单
这波是没商量好啊,一般来讲不是得开发完解决方案再公布漏洞的么?还是说旧设备没打算修复
已有1次举报支持(1) | 反对(0) | 举报 | 回复
1#
提示:本页有 2 个评论因未通过审核而被隐藏