关键词
漏洞被利用
CISA 今天警告说,影响 Apple iPhone、Mac、电视和手表的修补内核安全漏洞现在正在被积极利用。
该漏洞被跟踪为 CVE-2022-48618,并被 Apple 的安全研究人员发现,直到 1 月 9 日才在 2022 年 12 月发布的安全公告更新中披露。
该公司尚未透露该漏洞是否也在两年多前首次发布公告时进行了默默修补。
“具有任意读写能力的攻击者可能能够绕过指针身份验证,”该公司本月透露。
“Apple 知道有报告称,此问题可能已被针对 iOS 15.7.1 之前发布的 iOS 版本利用。”
此不当身份验证安全漏洞使攻击者能够绕过指针身份验证,这是一项旨在阻止试图利用内存损坏漏洞的攻击的安全功能。
Apple 通过改进对运行 iOS 16.2 或更高版本、iPadOS 16.2 或更高版本、macOS Ventura 或更高版本、tvOS 16.2 或更高版本以及 watchOS 9.2 或更高版本的设备进行检查来解决该缺陷。
受此积极利用缺陷影响的设备列表非常广泛,它会影响旧型号和新型号,包括:
iPhone 8 及更新机型、iPad Pro(所有机型)、iPad Air 第 3 代及更新机型、iPad 第 5 代及更新机型以及 iPad mini 第 5 代及更新机型
运行 macOS Ventura 的 Mac
Apple TV 4K、Apple TV 4K(第 2 代及后续机型)和 Apple TV HD
以及 Apple Watch Series 4 及更新机型
虽然 Apple 尚未分享有关 CVE-2022-48618 在野外主动利用的更多详细信息,但 CISA 已将该漏洞添加到其已知利用漏洞目录中。
它还命令美国联邦机构按照 2021 年 11 月发布的具有约束力的运营指令 (BOD 22-01) 的要求,在 2 月 21 日之前修补该漏洞。
上周,Apple 还发布了安全更新,以修补今年在攻击中利用的第一个零日漏洞 (CVE-2024-23222),这是一个 WebKit 混淆问题,攻击者可以利用该问题在易受攻击的 iPhone、Mac 和 Apple TV 上执行代码。
同一天,该公司还向后移植了较旧的 iPhone 和 iPad 型号的补丁,用于另外两个 WebKit 零日漏洞,分别跟踪为 CVE-2023-42916 和 CVE-2023-42917,并于 11 月针对较新的设备进行了修补。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.