近日,苹果发布会了一个应急安全更新,以处理二项被积极主动利用以侵入iPhone、iPad和Mac的零日漏洞。
这两项漏洞均由密名科学研究工作人员发觉并汇报,美国苹果公司表明在iOS 15.4.1、iPadOS 15.4.1和macOS Monterey 12.3.1的公布中已解决了该二项漏洞,并提议客户尽早安裝安全补丁。此外,iPhone层面沒有表露一切有关在这种漏洞被怎样利用的主要关键点。
第一项漏洞是出现于intel显卡驱动程序中的超管理权限载入问题,跟踪代码为CVE-2022-22674,该漏洞容许故意应用软件载入内核运行内存。
这一漏洞的积极主动利用造成了美国苹果公司的留意,企业近期公布的一份报告书中称,超管理权限载入问题也许会造成内核运行内存的泄漏。在汇报也与此同时提起了集团公司的相匹配提议:“可以根据改善的键入认证来处理该漏洞。”
第二项漏洞是一个越境载入问题,危害AppleAVD新闻媒体视频解码器,跟踪代码为CVE-2022-22675。该漏洞一样容许故意应用软件载入内核运行内存,进而使应用软件可以应用内核权利实行随意代码。
对于此事,汇报得出提议:“根据改善的界限查验可以处理越境载入问题。”
实际上,自2022年1月至今,美国苹果公司早已解决了三个被积极主动利用的零日漏洞。1月,企业处理的二项零日漏洞跟踪代码各自为CVE-2022-22587和CVE-2022-22594,网络攻击可以利用其在受伤害的设施上运作随意代码。2月,处理的是WebKit中一个危害iOS、iPadOS、macOS和Safari的零日漏洞,跟踪代码为CVE-2022-22620,可以根据解决故意制做的网页页面开启,进而造成随意代码实行。
参照来源于:https://securityaffairs.co/wordpress/129672/security/apple-emergency-patches-zero-days.html