Apple呼籲旗下iPhone、Mac以及iPad的用戶盡快安裝本周推送的更新,因為更新中包括了針對2個活躍零日漏洞的修補,而這兩個零日漏洞可以讓攻擊者執行任意代碼攻擊並且最終奪得目標計算機的控制。
根據Apple發布的安全更新告示,這次的更新的目標設備,是那些可以運行iOS 15,或者Monterey版本的macOS。其中一個漏洞是內核BUG CVE-2022-32894,在iOS以及macOS中都有出現,Apple表示這是一個「通過改進邊界檢查解決的越界寫入問題」。這個漏洞可以讓應用程式以內核權限執行任意代碼。而按照Apple的說法,這個漏洞應該是已經有人利用起來了。
另外一個漏洞就是屬於Webkit的BUG,CVE代號為CVE-2022-32893,同樣也是通過改進邊界檢查解決的越界寫入問題。它可以允許處理任何有惡意的網頁內容,Apple也確忘這個BUG同樣也是有人在利用來攻擊目標計算機。Webkit是Safari以及全部可以在iOS上運行的第三方瀏覽器的瀏覽器引擎。
這兩個漏洞是由一位匿名研究人員發現,除了Apple所披露的訊息之外人們對此知之甚少。有網絡安全研究人員擔心最新的這些Apple裝置漏洞基本上可以讓攻擊者完全獲得設備的控制權。安全研究員表示,由於人們對移動設備的依賴並不比計算機低甚至過之而無不及,因此對於這些設備的網絡安全也不能夠掉以輕心。同時,應用程式開發者也應該在他們的應用之中加入額外的安全控制措施,減少對系統安全措施的依賴。
來源:超能網
