Apple最近为旧款iPhone以及iPad推送了安全性更新,修复了一个已知且已经被人利用的零日漏洞。
这个代号为CVE-2022-42827的漏洞如果利用得当,可以让攻击者以内核特权来执行任意代码。这是一个属于跨界写入(Out-of-Bounds Write)的漏洞,是由匿名的研究员向Apple报告,是由于软件能够在内存缓存界限外写入数据而导致。这可以引起数据损毁或程序崩溃,以及由未定义或顺序缓存数据写入未预期结果而导致的代码执行。
Apple在今个星期就推出了iOS 15.7.1以及iPadOS 15.7.1更新,当中就包括了对界限检查的改善。这次受到影响的设备包括iPhone 6s或更新的机型、全系iPad Pro、iPad Air 2或更新的机型、第5代iPad或更新的机型、iPad mini 4及第7代iPod touch。
虽然这个零日漏洞大概率只会被用来有针对性的攻击上,但建议旧设备用户最好还是安装更新,来避免潜在的攻击风险。
Apple表示,这个安全漏洞“或已被主动利用”,不过直至目前仍然没有公布相关的攻击详情。美国CISA也在几天前把这个零日漏洞加入至已知被利用的漏洞列表当中。
截至目前为止,Apple今年已经修复了9个零日漏洞,分别是内核特权任意代码执行漏洞CVE-2022-22587、浏览痕迹追踪漏洞CVE-2022-22594、Webkit漏洞CVE-2022-22620等、Intel驱动漏洞CVE-2022-22674、AppleAVE漏洞CVE-2022-22675、iOS系统内核漏洞CVE-2022-32894、另一个Webkit漏洞CVE-2022-32893以及另一个iOS内来漏洞CVE-2022-32917。
