Apple 針對手機、平板以及MAC設備作業系統中的兩個零日漏洞推出了緊急補丁,據悉這兩個漏洞已遭利用。
其一漏洞編號為 CVE-2022-22675,影響版本包含iOS 和 iPadOS 15.4.1、macOS Monterey 12.3.1、tvOS 15.4.1 和 watchOS 8.5.1 。 CVE-2022-22675是一個越界寫入漏洞 (out-of-bounds write),存在於名為 AppleAVD 的音訊和視訊解碼零件中。該漏洞可允許應用程序以內核權限執行任意代碼。
Apple已透過改善邊界檢查(bounds checking) 修補該漏洞。
另一個漏洞是 CVE-2022-22674。此漏洞存在於Intel 顯示晶片驅動程式模組中的一個越界讀取問題,可使惡意行為者能夠讀取內核內存。最新版本的 macOS Monterey 已修復CVE-2022-22674。
進入2022年四月,Apple已修補四個零日漏洞。還不包含 IndexedDB API, CVE-2022-22594這個漏洞可讓惡意網站透由瀏覽器追蹤用戶的活動與身分。
前兩個已修補的漏洞為:
- CVE-2022-22587 (IOMobileFrameBuffer) –
惡意應用程序可能能夠以內核權限執行任意代碼
- CVE-2022-22620 (WebKit) –
處理惡意製作的網頁內容可能導致任意代碼執行
有鑑於零日漏洞的危險性,Apple iPhone、iPad 和 Mac 用戶應盡快升級到最新版本的軟件,以減輕潛在威脅。
最新 iOS 和 iPad 更新適用於 iPhone 6s 及更新機型、iPad Pro(所有型號)、iPad Air 2 及更新機型、iPad 第 5 代及更新機型、iPad mini 4 及更新機型以及 iPod touch(第 7 代)。
本文編譯自thehackernews.com。