蘋果緊急修補macOS、iOS零時差漏洞 已傳出遭駭客利用
蘋果本周分別針對MacOS及iOS釋出安全更新,以修補兩個重大零時差漏洞。
兩個漏洞中,一個同時影響macOS及iOS,列為CVE-2022-22675,另一個則是影響macOS的漏洞CVE-2022-22674。
CVE-20232-22675為一越界寫入(out-of-bounds write)漏洞,位於macOS App AVD元件,可讓惡意應用程式在OS以核心權限執行任意程式碼。蘋果並提醒,他們已接獲通報,這項漏洞已遭開採。
CVE-2022-22674則是一種越界讀取(out of bounds read)漏洞,位於macOS的Intel顯卡驅動程式,可讓惡意程式讀取核心記憶體,也傳出已遭駭客積極開採。蘋果在更新中強化輸入驗證將之解決。
一如過去蘋果以尚未完成調查為由,未公佈兩項漏洞細節,以及哪種程式開採漏洞。蘋果呼籲用戶儘速更新到最新版作業系統。
這兩個漏洞也是蘋果今年第4和第5個零時差漏洞,迫使蘋果釋出緊急修補程式。今年光是1月蘋果已修補了2個零時差漏洞,分別位於iOS/iPadOS及Safari中瀏覽器引擎WebKit。2月WebKit又有一個使用已釋放記憶體(use-after-free)漏洞,能透過誘使用戶造訪惡意網頁內容觸發漏洞,而在用戶機器上執行任意程式碼。
去年此類漏洞有12個,看來今年很有可能打破去年紀錄。去年的漏洞中,有個位於iMessage中能讓以色列開發商NSO Group植入間諜軟體Pegasus。蘋果和去年因該漏洞和臉書分別控告NSO Group。
來源:ThreatPost