苹果iOS系统2个零日漏洞在野利用，以内核权限执行任意代码

最近的网络安全研究中，苹果公司推出了紧急安全补丁，以解决其移动操作系统和桌面操作系统中的2个零日漏洞，这2个漏洞目前已在野被利用。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，这些漏洞的安全补丁已作为 iOS 和 iPadOS 15.4.1、macOS Monterey 12.3.1、tvOS 15.4.1 和 watchOS 8.5.1 版本更新包的一部分进行了修复。

该漏洞号为 CVE-2022-22675 ，是一个名为 AppleAVD 的音频和视频解码组件中的越界写入漏洞，该漏洞允许应用程序以内核权限执行任意代码。苹果公司表示已通过改进边界检查机制完成了修复。

最新版本的 macOS Monterey 除了修复 CVE-2022-22675 外，还包括对 CVE-2022-22674 的修复，这是英特尔显卡驱动程序模块中的一个越界读取漏洞，利用该漏洞黑客能够读取内核内存。该漏洞已通过改进输入验证进行了修复，为了防止该漏洞被进一步滥用，苹果公司保留了该漏洞的更多技术细节。

• CVE-2022-22587 (IOMobileFrameBuffer) – 恶意应用程序可能能够以内核权限执行任意代码。
• CVE-2022-22620 (WebKit) – 处理恶意制作的网页内容可能导致任意代码执行。

自今年以来，Apple 修补的零日漏洞总数达到了4个，更不用说IndexedDB API中公开披露的漏洞(CVE-2022-22594)，该漏洞可能被恶意软件武器化以跟踪用户在浏览器中的活动和身份。

鉴于以上漏洞被积极利用，强烈建议 iPhone、iPad 和 Mac 用户尽快升级到最新版本，以降低潜在威胁。