查看原文
其他

苹果修复已遭利用的第10个0day

Ravie Lakshmanan 代码卫士 2022-12-17

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

本周二,苹果发布iOS、iPadOS、macOS、tvOS 和 Safari web 浏览器的安全更新,解决了一个可导致恶意代码执行后果的新0day(CVE-2022-42856)。

苹果表示,CVE-2022-42856 是一个位于 WebKit 浏览器引擎中的类型混淆漏洞,当处理特殊构造的内容时可被触发,导致任意代码执行后果。苹果公司表示,目前“发现有报告称该漏洞可能已被活跃利用与 iOS 15.1之前的版本中。”

虽然目前尚不清楚该攻击的确切性质,但可能牵涉攻击者通过浏览器访问恶意域名或合法但被攻陷域名时,感染设备的社工或水坑攻击。

值得注意的是,按照苹果出台的限制条件,适用于iOS 和 iPadOS 的每个第三方web 浏览器,包括谷歌Chrome、Mozilla Firefox和微软Edge 等都必须使用该WebKit 渲染引擎。

该漏洞是由谷歌公司威胁分析团队的研究员Clément Lecigne 发现的。苹果公司在11月30日修复iOS 16.1.2中的同样漏洞后,该安全更新已适用于iOS 15.7.2、iPadOS 15.7.2、macOS Ventura 13.1、tvOS 16.2和Safari 16.2。

这是今年以来苹果软件中出现的第10个0day,也是今年已遭活跃利用的第9个0day:

  • CVE-2022-22587 (IOMobileFrameBuffer) – 恶意应用可以内核权限执行任意代码

  • CVE-2022-22594 (WebKit Storage) – 网站可追踪用户敏感信息(公开已知但未遭活跃利用)

  •  CVE-2022-22620 (WebKit) – 处理恶意构造的web内容可导致任意代码执行

  • CVE-2022-22674 (Intel Graphics Driver) – 应用程序可读取内核内存

  • CVE-2022-22675 (AppleAVD) – 应用程序可以内核权限执行任意代码

  • CVE-2022-32893 (WebKit) – 处理恶意构造的web内容可导致任意代码执行后果

  • CVE-2022-32894 (Kernel) – 应用程序可以内核权限执行任意代码

  • CVE-2022-32917 (Kernel) – 应用程序可以内核权限执行任意代码

  • CVE-2022-42827 (Kernel) – 应用程序可以内核权限执行任意代码

最新的 iOS、iPadOS 和macOS 更新中还引入新的安全特性Advanced Data Protection for iCloud,将端对端加密扩展到 iCloud Backup、Notes、Photos等产品中。


代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读
苹果修复已遭利用的第9枚0day
苹果修复今年以来影响iPhone 和 Mac设备的第8枚0day
苹果紧急修复影响 Mac 和 Apple Watch 的 0day
苹果紧急修复已遭利用的两个0day



原文链接

https://thehackernews.com/2022/12/new-actively-exploited-zero-day.html


题图:Pixabay License‍



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存