2022/8/19 10:22:43 人評論次

Apple修複0day漏洞：更新您的設備！（CVE-2022-32894、CVE-202-32893）

蘋果發(fā)布了iOS、iPadOS和macOS Monterey的安全更新，以修複CVE-2022-32894和CVE-202-32893，這(zhè)兩(liǎng)個代碼執行漏洞會(huì)被(bèi)攻擊者利用。

關于漏洞（CVE-2022-32894、CVE-202-32893）

CVE-2022-32894是操作系統内核中的越界寫入問題，惡意應用程序可以利用該問題以内核權限執行任意代碼（并控制整個系統）

CVE-2022-32893是WebKit（蘋果的浏覽器引擎，爲其Safari web浏覽器和所有iOS web浏覽器提供動力）中的越界寫入問題，可通過(guò)處理惡意制作的web内容觸發(fā)。它也可能(néng)導緻任意代碼執行。

這(zhè)兩(liǎng)起(qǐ)事(shì)件都(dōu)是由一位匿名研究員報道(dào)的。

與往常一樣(yàng)，蘋果沒(méi)有透露利用兩(liǎng)個0day漏洞進(jìn)行攻擊的細節，但很可能(néng)這(zhè)些漏洞正被(bèi)用于有針對(duì)性的攻擊。

然而，所有用戶應通過(guò)升級到以下位置，盡快實施更新：

•iOS 15.6.1

•iPadOS 15.6。

•macOS 12.5.1（其他受支持的macOS版本的更新可能(néng)會(huì)在稍後(hòu)進(jìn)行）

同時修複：一個Chrome 0day漏洞（CVE-2022-2856）

使用谷歌Chrome且未啓用自動更新的MacOS用戶也應确保更新該浏覽器，因爲谷歌推出了一個新版本，該版本修複了CVE-2022-2856等漏洞，這(zhè)是一個影響Chrome意圖的輸入驗證錯誤。

谷歌表示，該0day漏洞已經(jīng)被(bèi)谷歌威脅分析團隊的Ashley Shen和Christian Ressel标記，谷歌“意識到CVE-2022-2856存在漏洞。”

Sophos首席研究科學(xué)家保羅·達克林（Paul Ducklin）指出：“Chrome意圖是一種(zhǒng)直接從網頁觸發(fā)應用程序的機制，其中網頁上的數據被(bèi)輸入到一個外部應用程序中，該應用程序被(bèi)啓動來處理這(zhè)些數據。”。

“谷歌沒(méi)有提供任何詳細信息，說明哪些應用程序或何種(zhǒng)數據可能(néng)會(huì)被(bèi)該漏洞惡意操縱（……），但如果已知的攻擊涉及悄悄地向(xiàng)本地應用程序提供通常出于安全原因而被(bèi)阻止的危險數據，則危險似乎相當明顯。”

除了針對(duì)Mac的新版Chrome外，谷歌還(hái)發(fā)布了針對(duì)Windows和Linux的新版本，修複了相同的漏洞，這(zhè)些版本將(jiāng)在未來幾天/幾周内推出。

海龍科技

相關新聞