Apple修複0day漏洞:更新您的設備!(CVE-2022-32894、CVE-202-32893)

    2022/8/19 10:22:43 人評論

    Apple修複0day漏洞:更新您的設備!(CVE-2022-32894CVE-202-32893

     

    蘋果發布了(le)iOSiPadOS和(hé)macOS Monterey的安全更新,以修複CVE-2022-32894和(hé)CVE-202-32893,這(zhè)兩個代碼執行漏洞會(huì)被攻擊者利用(yòng)。

     

    關于漏洞(CVE-2022-32894CVE-202-32893

     

    CVE-2022-32894是操作(zuò)系統内核中的越界寫入問題,惡意應用(yòng)程序可以利用(yòng)該問題以内核權限執行任意代碼(并控制整個系統)

     

    CVE-2022-32893WebKit(蘋果的浏覽器引擎,爲其Safari web浏覽器和(hé)所有iOS web浏覽器提供動力)中的越界寫入問題,可通過處理(lǐ)惡意制作(zuò)的web内容觸發。它也(yě)可能(néng)導緻任意代碼執行。

     

    這(zhè)兩起事(shì)件都是由一位匿名研究員報(bào)道(dào)的。

     

    與往常一樣,蘋果沒有透露利用(yòng)兩個0day漏洞進行攻擊的細節,但(dàn)很(hěn)可能(néng)這(zhè)些(xiē)漏洞正被用(yòng)于有針對(duì)性的攻擊。

     

    然而,所有用(yòng)戶應通過升級到(dào)以下(xià)位置,盡快(kuài)實施更新:

     

    iOS 15.6.1

     

    iPadOS 15.6

     

    macOS 12.5.1(其他(tā)受支持的macOS版本的更新可能(néng)會(huì)在稍後進行)

     

    同時(shí)修複:一個Chrome 0day漏洞(CVE-2022-2856

     

    使用(yòng)谷歌Chrome且未啓用(yòng)自(zì)動更新的MacOS用(yòng)戶也(yě)應确保更新該浏覽器,因爲谷歌推出了(le)一個新版本,該版本修複了(le)CVE-2022-2856等漏洞,這(zhè)是一個影響Chrome意圖的輸入驗證錯誤。

     

    谷歌表示,該0day漏洞已經被谷歌威脅分析團隊的Ashley Shen和(hé)Christian Ressel标記,谷歌“意識到(dào)CVE-2022-2856存在漏洞。”

     

    Sophos首席研究科學家保羅·達克林(lín)(Paul Ducklin)指出:“Chrome意圖是一種直接從(cóng)網頁觸發應用(yòng)程序的機制,其中網頁上(shàng)的數據被輸入到(dào)一個外(wài)部應用(yòng)程序中,該應用(yòng)程序被啓動來(lái)處理(lǐ)這(zhè)些(xiē)數據。”。

     

    “谷歌沒有提供任何詳細信息,說明(míng)哪些(xiē)應用(yòng)程序或何種數據可能(néng)會(huì)被該漏洞惡意操縱(……),但(dàn)如果已知(zhī)的攻擊涉及悄悄地向本地應用(yòng)程序提供通常出于安全原因而被阻止的危險數據,則危險似乎相當明(míng)顯。”

     

    除了(le)針對(duì)Mac的新版Chrome外(wài),谷歌還發布了(le)針對(duì)Windows和(hé)Linux的新版本,修複了(le)相同的漏洞,這(zhè)些(xiē)版本将在未來(lái)幾天/幾周内推出。


    ×