查看原文
其他

苹果发布 iOS 和 macOS 更新,修复已遭利用0day

Lawrence Abrams 代码卫士 2022-05-23

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士




本周三,苹果公司发布 iOS 15.3 和 macOS Monterey 12.2,修复了两个0day,其中一个已公开(CVE-2022-22587,另外一个已被用于攻击 iPhone 和 Mac(CVE-2022-22584)。


已遭利用的0day


CVE-2022-22587 是位于 IOMobileFrameBuffer 中的内存损坏漏洞,影响 iOS、iPadOS 和 macOS Monterey。如遭成功利用,可导致攻击者在受陷设备以内核权限执行任意代码。

苹果公司指出,该漏洞可能已遭利用。

受影响设备包括:

  • iPhone 6s 及后续版本、iPad Pro(所有机型)、iPad Air 2及后续版本、iPad第5代及后续版本、iPad mini4 及后续版本以及iPod touch(第7代)

  • 以及macOS Monterey

该漏洞是由一名匿名研究员、MBition 实验室研究员 Meysam Firouzi 以及另外一名研究员 Siddharth Aeri 发现的。Firouzi 和 Aeri 指出他们是各自独立发现这个漏洞的,并未发现遭利用迹象。


已公开0day


第二个0day 位于 iOS 和 iPadOS中,可导致网站实时追踪用户的浏览活动和用户身份。

该漏洞是由 FingerprintJS 公司的研究员 Martin Bajanik 在2021年11月28日发现的,并在2022年1月14日公开。漏洞公开后,获得编号CVE-2022-22584,并在 iOS 15.3和iPadOS 15.3 安全更新中修复。

这两个漏洞是苹果公司在2022年修复的首批0day。

然而,苹果在2021年修复了看似无尽头的0day,它们被用于攻击 iOS 和 macOS 设备。其中多个0day 被用于在记者、活动家和政客的iPhone 上安装 Pegasus 间谍软件。









推荐阅读
苹果修复 Gatekeeper 绕过漏洞
苹果新漏洞 “Shrootless” 可使攻击者在macOS 系统上安装后门
苹果紧急修复已遭 NSO Group 利用的 iMessage 0day以及另一个0day
【BlackHat】研究员吐槽苹果漏洞奖励计划
苹果修复已遭在野利用的 iOS 和 macOS 0day




原文链接

https://www.bleepingcomputer.com/news/apple/apple-fixes-new-zero-day-exploited-to-hack-macos-ios-devices/


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存