近日，蘋果發(fā)布了一個(gè)緊急安全補(bǔ)丁，以解決兩項(xiàng)被積極利用以入侵iPhone、iPad和Mac的零日漏洞。

這兩項(xiàng)漏洞均由匿名研究人員發(fā)現(xiàn)并報(bào)告，蘋果公司表示在iOS 15.4.1、iPadOS 15.4.1和macOS Monterey 12.3.1的發(fā)布中已解決了該兩項(xiàng)漏洞，并建議用戶盡快安裝安全更新。除此之外，蘋果方面沒(méi)有透露任何關(guān)于在這些漏洞被如何利用的具體細(xì)節(jié)。

第一項(xiàng)漏洞是存在于英特爾顯卡驅(qū)動(dòng)程序中的超權(quán)限讀取問(wèn)題，追蹤代碼為CVE-2022-22674，該漏洞允許惡意應(yīng)用程序讀取內(nèi)核內(nèi)存。

這一漏洞的積極利用引起了蘋果公司的注意，公司最近發(fā)布的一份報(bào)告中稱，超權(quán)限讀取問(wèn)題可能會(huì)導(dǎo)致內(nèi)核內(nèi)存的泄露。在報(bào)告也同時(shí)提到了公司的對(duì)應(yīng)建議：“可以通過(guò)改進(jìn)的輸入驗(yàn)證來(lái)解決該漏洞。”

第二項(xiàng)漏洞是一個(gè)越界寫入問(wèn)題，影響AppleAVD媒體解碼器，追蹤代碼為CVE-2022-22675。該漏洞同樣允許惡意應(yīng)用程序讀取內(nèi)核內(nèi)存，從而使應(yīng)用程序能夠使用內(nèi)核特權(quán)執(zhí)行任意代碼。

對(duì)此，報(bào)告給出建議：“通過(guò)改進(jìn)的邊界檢查可以解決越界寫入問(wèn)題。”

其實(shí)，自2022年1月以來(lái)，蘋果公司已經(jīng)解決了三個(gè)被積極利用的零日漏洞。1月，公司解決的兩項(xiàng)零日漏洞追蹤代碼分別為CVE-2022-22587和CVE-2022-22594，攻擊者可以利用其在受攻擊的設(shè)備上運(yùn)行任意代碼。2月，解決的是WebKit中一個(gè)影響iOS、iPadOS、macOS和Safari的零日漏洞，追蹤代碼為CVE-2022-22620，可以通過(guò)處理惡意制作的網(wǎng)頁(yè)內(nèi)容觸發(fā)，從而導(dǎo)致任意代碼執(zhí)行。

參考來(lái)源：https://securityaffairs.co/wordpress/129672/security/apple-emergency-patches-zero-days.html