苹果公司本周敦促macOS、iPhone和iPad用户立即安装更新,修复两个正被活跃利用的零日漏洞。这些漏洞允许攻击者执行任意代码并最终完全控制设备。
受影响设备可升级至iOS 15.6.1和macOS Monterey 12.5.1获取补丁。根据苹果周三发布的安全公告,这两个漏洞基本上影响所有能运行iOS 15或Monterey桌面操作系统的苹果设备。
第一个漏洞是存在于iOS和macOS中的内核缺陷(CVE-2022-32894)。苹果描述其为"通过改进边界检查解决的越界写入问题"。该漏洞允许应用程序以内核权限执行任意代码,苹果以惯常模糊的表述称"有报告表明可能已被积极利用"。
第二个漏洞是WebKit引擎缺陷(追踪为CVE-2022-32893),同样是通过改进边界检查解决的越界写入问题。该漏洞在处理恶意制作的网页内容时可能导致代码执行,苹果表示也已收到被活跃利用的报告。WebKit是Safari和所有iOS第三方浏览器的核心引擎。
类似Pegasus的攻击场景
这两个漏洞的发现者是一位匿名研究员。专家担忧这些漏洞可能"有效赋予攻击者对设备的完全访问权限",可能重现类似Pegasus间谍软件的攻击场景——此前国家背景的APT组织曾利用iPhone漏洞通过以色列NSO集团的间谍软件大规模攻击目标。
SocialProof Security公司CEO Rachel Tobac就这些零日漏洞发推建议:“普通用户应在今天结束前更新软件。如果威胁模型较高(记者、活动人士、国家针对目标等),请立即更新。”
零日漏洞频现
这些漏洞的披露恰逢谷歌本周宣布修补Chrome浏览器今年第五个零日漏洞——一个正被活跃利用的任意代码执行缺陷。
挪威应用安全公司Promon高级技术总监Andrew Whaley指出,顶级科技厂商接连爆出漏洞表明,尽管这些公司努力解决软件中的长期安全问题,但安全防护仍是场艰苦战斗。鉴于iPhone的普及和用户对移动设备的深度依赖,iOS漏洞尤其令人担忧。但他认为保护设备不仅是厂商的责任,用户也需提高对现有威胁的认知。
"虽然我们都依赖移动设备,但它们并非无懈可击。我们需要像对待桌面操作系统一样保持警惕,"他在给Threatpost的邮件中写道。同时鉴于频繁出现的漏洞,iPhone等移动设备的应用开发者应在技术中加入额外的安全控制层,减少对操作系统安全保护的依赖。
"我们的经验表明这方面做得远远不够,可能使银行等客户处于脆弱状态,"他警告道。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
