Apple修复0day漏洞:更新(xīn)您的设备!(CVE-2022-32894、CVE-202-32893)
苹果发布了iOS、iPadOS和macOS Monterey的安全更新(xīn),以修复CVE-2022-32894和CVE-202-32893,这两个代码执行漏洞会被攻击者利用(yòng)。
关于漏洞(CVE-2022-32894、CVE-202-32893)
CVE-2022-32894是操作系统内核中的越界写入问题,恶意应用(yòng)程序可(kě)以利用(yòng)该问题以内核权限执行任意代码(并控制整个系统)
CVE-2022-32893是WebKit(苹果的浏览器引擎,為(wèi)其Safari web浏览器和所有(yǒu)iOS web浏览器提供动力)中的越界写入问题,可(kě)通过处理(lǐ)恶意制作的web内容触发。它也可(kě)能(néng)导致任意代码执行。
这两起事件都是由一位匿名研究员报道的。
与往常一样,苹果没有(yǒu)透露利用(yòng)两个0day漏洞进行攻击的细节,但很(hěn)可(kě)能(néng)这些漏洞正被用(yòng)于有(yǒu)针对性的攻击。
然而,所有(yǒu)用(yòng)户应通过升级到以下位置,尽快实施更新(xīn):
•iOS 15.6.1
•iPadOS 15.6。
•macOS 12.5.1(其他(tā)受支持的macOS版本的更新(xīn)可(kě)能(néng)会在稍后进行)
同时修复:一个Chrome 0day漏洞(CVE-2022-2856)
使用(yòng)谷歌Chrome且未启用(yòng)自动更新(xīn)的MacOS用(yòng)户也应确保更新(xīn)该浏览器,因為(wèi)谷歌推出了一个新(xīn)版本,该版本修复了CVE-2022-2856等漏洞,这是一个影响Chrome意图的输入验证错误。
谷歌表示,该0day漏洞已经被谷歌威胁分(fēn)析团队的Ashley Shen和Christian Ressel标记,谷歌“意识到CVE-2022-2856存在漏洞。”
Sophos首席研究科(kē)學(xué)家保罗·达克林(Paul Ducklin)指出:“Chrome意图是一种直接从网页触发应用(yòng)程序的机制,其中网页上的数据被输入到一个外部应用(yòng)程序中,该应用(yòng)程序被启动来处理(lǐ)这些数据。”。
“谷歌没有(yǒu)提供任何详细信息,说明哪些应用(yòng)程序或何种数据可(kě)能(néng)会被该漏洞恶意操纵(……),但如果已知的攻击涉及悄悄地向本地应用(yòng)程序提供通常出于安全原因而被阻止的危险数据,则危险似乎相当明显。”
除了针对Mac的新(xīn)版Chrome外,谷歌还发布了针对Windows和Linux的新(xīn)版本,修复了相同的漏洞,这些版本将在未来几天/几周内推出。