苹果iOS内存组件半年来爆出第3个零日漏洞,已广泛在野利用

Apple发布IOS和iPadoS更新,以积极利用0天漏洞

苹果周三发布了iOS 15.3 和 macOS Monterey 12.2,其中修复了 Safari 中侵犯隐私的漏洞,并包含1个零日漏洞,据称该漏洞已被广泛用于侵入苹果设备。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理,该漏洞的编号为CVE-2022-22587,与 IOMobileFrameBuffer 组件中的内存损坏问题有关,恶意应用程序可能滥用该漏洞以内核权限执行任意代码。

苹果公司表示,已知道有报告称这个问题可能已被积极利用,并表示已通过改进输入验证解决了这个问题。

CVE-2022-22587 是继 CVE-2021-30807CVE-2021-30883 之后六个月内在 IOMobileFrameBuffer 中发现的第3个零日漏洞。2021 年 12 月,Apple解决了用于管理屏幕帧缓冲区的内核扩展中的四个额外弱点。

苹果公司还修复了最近披露的 Safari中的一个漏洞,该漏洞源于IndexedDB API (CVE-2022-22594) 的错误实现,恶意网站可能会滥用该漏洞来跟踪用户在 Web 浏览器中的在线活动和甚至暴露他们的身份。

其他值得注意的漏洞包括:

  • CVE-2022-22584 – ColorSync 中的内存损坏问题,在处理恶意制作的文件时可能导致任意代码执行;
  • CVE-2022-22578 – Crash Reporter 中的一个逻辑问题,可能允许恶意应用程序获得 root 权限;
  • CVE-2022-22585 – iCloud 中的路径验证问题,流氓应用程序可利用该问题访问用户文件;
  • CVE-2022-22591 – 英特尔显卡驱动程序中的内存损坏问题,可能被恶意应用程序滥用以执行具有内核权限的任意代码;
  • CVE-2022-22593 – 内核中的缓冲区溢出问题,恶意应用程序可能会滥用该问题以内核权限执行任意代码;
  • CVE-2022-22590 – WebKit 中的一个释放后使用问题,在处理恶意制作的 Web 内容时可能导致任意代码执行;

本次安全更新适用于 iPhone 6s 及后续机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型、iPod touch(第 7 代)以及运行Big Sur、Catalina的 macOS 设备。

 

苹果iOS内存组件半年来爆出第3个零日漏洞,已广泛在野利用

极牛网精选文章《苹果iOS内存组件半年来爆出第3个零日漏洞,已广泛在野利用》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/17902.html

(26)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
上一篇 2022年1月25日 上午11:41
下一篇 2022年1月27日 上午11:20

相关推荐

发表评论

登录后才能评论