Hackernews 编译,转载请注明出处:
苹果发布了新一轮安全更新,以解决iOS和macOS中的多个漏洞,其中包括一个新的零日漏洞,该漏洞曾在野外攻击中使用。
该漏洞被追踪为CVE-2022-32917,根源于内核组件,可能使恶意应用程序能够以内核权限执行任意代码。
“苹果知道有报告称,该漏洞可能被积极利用。”这家iPhone制造商在一份简短声明中承认,并补充说,它通过改进绑定检查解决了该漏洞。
一位匿名研究人员报告了这一漏洞。值得注意的是,CVE-2022-32917也是苹果在不到一个月的时间内修复的第二个与内核相关的零日漏洞。
补丁适用于iOS 15.7、iPadOS 15.7、iOS 16、macOS Big Sur 11.7和macOS Monterey 12.6版本。iOS和iPadOS更新包括iPhone 6s及以上、iPad Pro(所有型号)、iPad Air 2及以上、iPad第5代及以上、iPad mini 4及以上和iPod touch(第 7 代)。
自今年年初以来,苹果已经解决了7个积极利用的零日漏洞和一个公开的零日漏洞:
- CVE-2022-22587 (IOMobileFrameBuffer)- 恶意应用程序可能能够以内核权限执行任意代码
- CVE-2022-22594(WebKit存储)- 网站可能能够跟踪敏感的用户信息(公开但未被积极利用)
- CVE-2022-22620(WebKit)- 处理恶意制作的网页内容可能导致任意代码执行
- CVE-2022-22674(英特尔显卡驱动程序)- 应用程序可能能够读取内核内存
- CVE-2022-22675(AppleAVD)- 应用程序可能能够以内核权限执行任意代码
- CVE-2022-32893(WebKit)- 处理恶意制作的网页内容可能导致任意代码执行
- CVE-2022-32894(内核)- 应用程序可能能够以内核权限执行任意代码
除了CVE-2022-32917之外,苹果还修复了iOS 16中的10个安全漏洞,包括联系人、内核地图、MediaLibrary、Safari和WebKit。iOS 16更新还加入了一种新的锁定模式,旨在使零点击攻击更加困难。
iOS还引入了一种称为快速安全响应的功能,使用户可以在iOS设备上自动安装安全补丁,而无需完整的操作系统更新。
苹果在周一发布的修订支持文件中表示:“在它们成为未来软件更新中其他改进的一部分之前,快速安全响应可以更快地提供重要的安全改进。”
最后,iOS 16还支持Safari网页浏览器中的密钥,这是一种无密码登录机制,允许用户通过Touch ID或Face ID进行身份验证来登录网站和服务。
消息来源:TheHackerNews,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文