蘋果公司敦促macOS、iPhone和iPad用戶在本周盡快安裝設(shè)備的更新文件，這其中包括對(duì)兩個(gè)處于主動(dòng)攻擊下的0 day漏洞的修復(fù)。這些漏洞允許攻擊者執(zhí)行任意代碼并最終接管設(shè)備。

這些補(bǔ)丁可用于運(yùn)行iOS 15.6.1和macOS Monterey 12.5.1的受影響設(shè)備。根據(jù)蘋果公司周三發(fā)布的安全更新，這些補(bǔ)丁解決了兩個(gè)漏洞，這些漏洞基本上會(huì)影響任何可以運(yùn)行iOS 15或Monterey版本的桌面操作系統(tǒng)的蘋果設(shè)備。

其中的一個(gè)漏洞是一個(gè)內(nèi)核漏洞（CVE-2022-32894），它在iOS和macOS中都存在。據(jù)蘋果公司稱，這是一個(gè)越界寫入漏洞，該問題可以通過改進(jìn)邊界的檢查方案來進(jìn)行解決。

根據(jù)蘋果公司的說法，該漏洞允許應(yīng)用程序以內(nèi)核權(quán)限執(zhí)行任意代碼。蘋果公司使用一貫的模糊的公告對(duì)外宣稱，該漏洞可能已被黑客積極利用了。

第二個(gè)漏洞被確定為是WebKit的一個(gè)漏洞（被追蹤為CVE-2022-32893），這是一個(gè)越界寫入漏洞，蘋果通過改進(jìn)邊界檢查方案來解決。據(jù)蘋果公司稱，該漏洞允許瀏覽器處理惡意制作的網(wǎng)頁內(nèi)容，這可能會(huì)導(dǎo)致代碼執(zhí)行漏洞，而且據(jù)報(bào)道，該漏洞也在被積極利用中。WebKit是為Safari和其他所有在iOS上運(yùn)行的第三方瀏覽器提供動(dòng)力的瀏覽器引擎。

類似Pegasus的情況

發(fā)現(xiàn)這兩個(gè)漏洞的是一位匿名的研究人員，除了蘋果公司披露的信息外，幾乎沒有其他任何信息。

一位專家對(duì)此表示很擔(dān)心，蘋果的最新漏洞可以讓攻擊者完全進(jìn)入設(shè)備內(nèi)，他們可能會(huì)像Pegasus漏洞一樣造成嚴(yán)重的后果。民族國家的APTs曾經(jīng)利用iPhone的漏洞，用以色列NSO集團(tuán)的間諜軟件對(duì)目標(biāo)進(jìn)行攻擊。

SocialProof Security的首席執(zhí)行官在推特上說，對(duì)于大多數(shù)人來說，最好在今天晚上就更新軟件。托巴克警告說，如果自己身份很特殊（記者、活動(dòng)家、或被境外勢(shì)力盯上等），那么建議現(xiàn)在就進(jìn)行更新。

0 day漏洞頻繁出現(xiàn)

在公布這些漏洞的同時(shí)，谷歌本周還公布了其他的消息，即它正在為其Chrome瀏覽器今年的第五個(gè)0 day漏洞進(jìn)行打補(bǔ)丁，這是一個(gè)正在受到攻擊的任意代碼執(zhí)行漏洞。

挪威應(yīng)用安全公司Promon的高級(jí)技術(shù)總監(jiān)指出，頂級(jí)技術(shù)供應(yīng)商的漏洞一直被威脅者攻擊的事實(shí)表明，盡管頂級(jí)技術(shù)公司為解決其軟件中長期存在的安全問題做出了很大的努力，但這仍然是一場(chǎng)艱苦的戰(zhàn)斗。

他說，考慮到iPhone的普遍性和用戶在日常生活中對(duì)移動(dòng)設(shè)備的完全依賴，iOS的漏洞令人十分擔(dān)憂。然而，保護(hù)這些設(shè)備的責(zé)任不僅在于供應(yīng)商，也在于用戶對(duì)現(xiàn)有的威脅有更多的了解。

他在給媒體的一封電子郵件中說，雖然我們都非常依賴我們的移動(dòng)設(shè)備，但它們并不是無懈可擊的，作為用戶，我們需要時(shí)刻保持警惕，就像我們?cè)谧烂娌僮飨到y(tǒng)上做的那樣。

與此同時(shí)，iPhone和其他移動(dòng)設(shè)備應(yīng)用程序的開發(fā)者也應(yīng)該在他們的技術(shù)中增加一個(gè)額外的安全控制層，這樣他們就可以減少對(duì)操作系統(tǒng)安全性的依賴，因?yàn)槁┒纯赡軙?huì)經(jīng)常出現(xiàn)。

他說，我們的經(jīng)驗(yàn)表明，目前這種情況還不夠多，但是很可能會(huì)使銀行和其他客戶受到傷害。

本文翻譯自：https://threatpost.com/iphone-users-urged-to-update-to-patch-2-zero-days-under-attack/180448/