苹果修复已遭利用0day，影响 iPhone、iPad 和 Mac

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

该0day 的编号是 CVE-2022-22620，是一个 WebKit 释放后使用漏洞，可导致操作系统崩溃以及在受陷设备上执行代码。成功利用该漏洞可导致攻击者在处理恶意构造的 web 内容后，在运行易受攻击 iOS 和 iPadOS 的 iPhone 和 iPad 上执行任意代码。

苹果公司指出，“苹果公司了解到该漏洞可能已遭活跃利用的报告。”苹果公司改进 iOS 15.3.1和 macOS Monterey 12.2.1中的内存管理并分配编号CVE-2022-22620。

受影响设备数量庞大，因为该漏洞还影响更老旧和更新版本的模块，包括：

尽管该 0day 可能仅用于针对性攻击中，但仍然强烈建议用户尽快安装更新，以免遭受攻击。

1月份，苹果公司修复了遭在野利用的另外两个0day，它们可导致攻击者以内核权限执行任意代码（CVE-2022-22587）并实时追踪浏览历史以及用户身份（CVE-2022-22594）。

这两个0day 影响iPhone（iPhone 6s 及后续版本）、运行 macOS Monterey 的 Mac 机器以及多个 iPad 记性。

虽然2022年以来苹果公司仅修复了3个0day，但该公司几乎一直在处理被用于攻击 iOS、iPadOS 和 macOS 设备的一连串0day。其中包括用于在记者、活动家和政客iPhone 手机上安装 NSO 公司的 Pegasus 监控软件。