查看原文
其他

苹果紧急修复影响 Mac 和 Apple Watch 的 0day

Sergiu Gatlan 代码卫士 2022-05-27

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士


苹果公司发布安全更新,解决了可被用于攻击Mac 和 Apple Watch 设备的一个0day 漏洞(CVE-2022-22675)。

0day 漏洞即软件厂商未意识到因此尚未修复的安全缺陷。在某些情况下,这种类型的漏洞可能在修复之前就出现了相关PoC或者已遭在野利用。

苹果公司发布安全公告指出,通过报告已了解到该漏洞“可能已遭活跃利用”。该漏洞 (CVE-2022-22675) 位于 AppleAVD(音频和视频解码的内核扩展)中,可导致应用以内核权限执行任意代码。

该漏洞由匿名研究员报告,苹果公司已通过提高边界检查的方式,在 macOS Big Sur 11.6、watchOS 8.6 以及tvOS 15.5 中修复。受影响设备包括 Apple Watch 系列3或后续版本、运行 macOS Big Sur 的 Mac 设备、Apple TV 4K、Apple TV 4K(第二代)以及Apple TV HD。

虽然苹果公司指出漏洞已遭活跃利用但并未发布更多详情。苹果公司这么做的原因可能是为了在攻击者了解更多详情并部署exploit 前保护尽可能多的 Apple Watch 和 Mac 设备。

虽然该0day 很可能仅用于针对性攻击中,但仍然强烈建议尽快安装新发布的 macOS 和 watchOS 安全更新,拦截攻击。


2022年修复的第5个0day


这是苹果公司2022年以来修复的第5个0day。该公司已修复的0day 如下:

  • CVE-2022-22587:任意代码执行漏洞(1月份)

  • CVE-2022-22594:实时追踪 web 浏览活动个用户身份(1月份)

  • CVE-2022-22620:可用于入侵 iPhone、iPad和 Mac,可导致操作系统崩溃和在受陷苹果设备上执行远程代码(2月份)

  • CVE-2022-22674:位于 Intel Graphics Driver 中(3月份)

  • CVE-2022-22675:位于 AppleAVD 没接解码器中,还向后兼容MacOS 老旧版本、watchOS 8.6和 tvOS 15.5(3月份)

这五个0day 影响 iPhone(iPhone 6s及后续版本)、运行 macOS Monterey 的 Mac 设备和多种 iPad 机型。

去年全年,苹果公司还修复了很多遭在野利用的 0day,它们的攻击目标是 iOS、iPadOS 和 macOS 设备。




代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com






推荐阅读
苹果决定不修复 Big Sur 和 Catalina 中的这两个0day
苹果紧急修复已遭利用的两个0day
苹果修复已遭利用0day,影响 iPhone、iPad 和 Mac
苹果发布 iOS 和 macOS 更新,修复已遭利用0day
苹果修复已遭在野利用的 iOS 和 macOS 0day




原文链接

https://www.bleepingcomputer.com/news/security/apple-emergency-update-fixes-zero-day-used-to-hack-macs-watches/

题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存