近日,苹果公司发布了一批安全更新,以解决 iOS 系统和 macOS 系统中的多个安全漏洞,包括一个新的零日漏洞,该漏洞已在野攻击中被武器化利用。该漏洞的漏洞号为 CVE-2022-32917,根源于iOS系统内核组件,可能使恶意应用程序能够以内核权限执行任意代码。
值得注意的是,CVE-2022-32917 漏洞也是苹果公司在不到一个月的时间内修复的第2个与内核相关的零日漏洞。自今年初以来,苹果公司已修复了7个被积极利用的零日漏洞。这些漏洞基础信息如下:
- CVE-2022-22587 (IOMobileFrameBuffer) – 恶意应用程序可能能够以内核权限执行任意代码;
- CVE-2022-22594(WebKit 存储)– 网站可能能够跟踪敏感的用户信息(公开但未被积极利用);
- CVE-2022-22620 (WebKit) – 处理恶意制作的网页内容可能导致任意代码执行;
- CVE-2022-22674(英特尔显卡驱动程序)– 应用程序可能能够读取内核内存;
- CVE-2022-22675 (AppleAVD) – 应用程序可能能够以内核权限执行任意代码;
- CVE-2022-32893 (WebKit) – 处理恶意制作的网页内容可能导致任意代码执行;
- CVE-2022-32894(内核)– 应用程序可能能够以内核权限执行任意代码;
根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,除了 CVE-2022-32917漏洞外,苹果公司还在 iOS 16 中填补了 10 个安全漏洞,这些安全漏洞主要涉及内核映射、Safari 和 WebKit等。
在iOS16中新增了一项名为Rapid Security Response快速安全响应功能,该功能使用户可以在 iOS 设备上自动安装安全修复程序,而无需完整的操作系统更新。
极牛网精选文章《苹果iOS系统内核曝零日漏洞,黑客以内核权限执行任意代码》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/20890.html