蘋果緊急修補 macOS、iOS 零時差漏洞 已傳出遭駭客利用

蘋果本周分別針對MacOS及iOS釋出安全更新,以修補兩個重大零時差漏洞。 兩個漏洞中,一個同時影響macOS及iOS,列為CVE-2022-22675,另一個則是影響macOS的漏洞CVE-2022-22674。

蘋果本周分別針對 MacOS 及 iOS 釋出安全更新,以修補兩個重大零時差漏洞。

兩個漏洞中,一個同時影響 macOS 及 iOS,列為 CVE-2022-22675,另一個則是影響 macOS 的漏洞 CVE-2022-22674。

CVE-20232-22675 為一越界寫入 (out-of-bounds write) 漏洞,位於 macOS App AVD 元件,可讓惡意應用程式在 OS 以核心權限執行任意程式碼。蘋果並提醒,他們已接獲通報,這項漏洞已遭開採。

CVE-2022-22674 則是一種越界讀取 (out of bounds read) 漏洞,位於 macOS 的 Intel 顯卡驅動程式,可讓惡意程式讀取核心記憶體,也傳出已遭駭客積極開採。蘋果在更新中強化輸入驗證將之解決。

一如過去蘋果以尚未完成調查為由,未公佈兩項漏洞細節,以及哪種程式開採漏洞。蘋果呼籲用戶儘速更新到最新版作業系統。

這兩個漏洞也是蘋果今年第 4 和第 5 個零時差漏洞,迫使蘋果釋出緊急修補程式。今年光是 1 月蘋果已修補了 2 個零時差漏洞,分別位於 iOS/iPadOS 及 Safari 中瀏覽器引擎 WebKit。2 月 WebKit 又有一個使用已釋放記憶體 (use-after-free) 漏洞,能透過誘使用戶造訪惡意網頁內容觸發漏洞,而在用戶機器上執行任意程式碼。

去年此類漏洞有 12 個,看來今年很有可能打破去年紀錄。去年的漏洞中,有個位於 iMessage 中能讓以色列開發商 NSO Group 植入間諜軟體 Pegasus。蘋果和去年因該漏洞和臉書分別控告 NSO Group。

來源:ThreatPost

關於我們

自 1990 年創刊 UXmaster 雜誌,1991 年獲得美國 LAN Magazine 獨家授權中文版,2006 年獲得 CMP Network Computing 授權,2009 年合併 CMP Network Magazine 獨家授權中文版,2014 年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT 人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416