苹果iOS系统2个零日漏洞在野利用,以内核权限执行任意代码

Apple发布了2个修补程序2在iPhone,iPad和Mac设备中积极开发零天

最近的网络安全研究中,苹果公司推出了紧急安全补丁,以解决其移动操作系统和桌面操作系统中的2个零日漏洞,这2个漏洞目前已在野被利用。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理,这些漏洞的安全补丁已作为 iOS 和 iPadOS 15.4.1、macOS Monterey 12.3.1、tvOS 15.4.1 和 watchOS 8.5.1 版本更新包的一部分进行了修复。

该漏洞号为 CVE-2022-22675 ,是一个名为 AppleAVD 的音频和视频解码组件中的越界写入漏洞,该漏洞允许应用程序以内核权限执行任意代码。苹果公司表示已通过改进边界检查机制完成了修复。

最新版本的 macOS Monterey 除了修复 CVE-2022-22675 外,还包括对 CVE-2022-22674 的修复,这是英特尔显卡驱动程序模块中的一个越界读取漏洞,利用该漏洞黑客能够读取内核内存。该漏洞已通过改进输入验证进行了修复,为了防止该漏洞被进一步滥用,苹果公司保留了该漏洞的更多技术细节。

  • CVE-2022-22587 (IOMobileFrameBuffer) – 恶意应用程序可能能够以内核权限执行任意代码。
  • CVE-2022-22620 (WebKit) – 处理恶意制作的网页内容可能导致任意代码执行。

自今年以来,Apple 修补的零日漏洞总数达到了4个,更不用说IndexedDB API中公开披露的漏洞(CVE-2022-22594),该漏洞可能被恶意软件武器化以跟踪用户在浏览器中的活动和身份。

鉴于以上漏洞被积极利用,强烈建议 iPhone、iPad 和 Mac 用户尽快升级到最新版本,以降低潜在威胁。

 

苹果iOS系统2个零日漏洞在野利用,以内核权限执行任意代码

极牛网精选文章《苹果iOS系统2个零日漏洞在野利用,以内核权限执行任意代码》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/18787.html

(25)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
上一篇 2022年3月31日 下午2:08
下一篇 2022年4月1日 上午11:07

相关推荐

发表回复

登录后才能评论