Apple 發(fā)布了另一輪安全更新，以解決 iOS 和 macOS 中的多個漏洞，包括一個新的零日漏洞，該漏洞已在野外攻擊中使用。

該問題的標(biāo)識符為CVE-2022-32917，根源于內(nèi)核組件，可能使惡意應(yīng)用程序能夠以內(nèi)核權(quán)限執(zhí)行任意代碼。

“Apple 知道有報告稱這個問題可能已被積極利用，”這家 iPhone 制造商在一份簡短聲明中承認(rèn)，并補(bǔ)充說它通過改進(jìn)綁定檢查解決了該錯誤。

一位匿名研究人員報告了這一缺點(diǎn)。值得注意的是，CVE-2022-32917 也是蘋果在不到一個月的時間內(nèi)修復(fù)的第二個與內(nèi)核相關(guān)的零日漏洞。

補(bǔ)丁適用于iOS 15.7、iPadOS 15.7、iOS 16、macOS Big Sur 11.7和macOS Monterey 12.6 版本。iOS 和 iPadOS 更新涵蓋 iPhone 6s 及更新機(jī)型、iPad Pro（所有型號）、iPad Air 2 及更新機(jī)型、iPad 第 5 代及更新機(jī)型、iPad mini 4 及更新機(jī)型以及 iPod touch（第 7 代）。

自今年年初以來，Apple 已通過最新修復(fù)解決了 7 個被積極利用的零日漏洞和一個眾所周知的零日漏洞 -

• CVE-2022-22587 (IOMobileFrameBuffer) – 惡意應(yīng)用程序可能能夠以內(nèi)核權(quán)限執(zhí)行任意代碼
• CVE-2022-22594（WebKit 存儲）——網(wǎng)站可能能夠跟蹤敏感的用戶信息（公開但未被積極利用）
• CVE-2022-22620 (WebKit) – 處理惡意制作的網(wǎng)頁內(nèi)容可能導(dǎo)致任意代碼執(zhí)行
• CVE-2022-22674（英特爾顯卡驅(qū)動程序）——應(yīng)用程序可能能夠讀取內(nèi)核內(nèi)存
• CVE-2022-22675 (AppleAVD) – 應(yīng)用程序可能能夠以內(nèi)核權(quán)限執(zhí)行任意代碼
• CVE-2022-32893 (WebKit) – 處理惡意制作的網(wǎng)頁內(nèi)容可能導(dǎo)致任意代碼執(zhí)行
• CVE-2022-32894（內(nèi)核）——應(yīng)用程序可能能夠以內(nèi)核權(quán)限執(zhí)行任意代碼

除了 CVE-2022-32917，Apple 還在 iOS 16 中填補(bǔ)了 10 個安全漏洞，涵蓋聯(lián)系人、內(nèi)核映射、MediaLibrary、Safari 和 WebKit。iOS 16 更新還值得注意的是加入了一種新的鎖定模式，該模式旨在使零點(diǎn)擊攻擊更加困難。

iOS 進(jìn)一步引入了一項(xiàng)名為Rapid Security Response的功能，該功能使用戶可以在 iOS 設(shè)備上自動安裝安全修復(fù)程序，而無需完整的操作系統(tǒng)更新。

“快速安全響應(yīng)可以更快地提供重要的安全改進(jìn)，然后才能成為未來軟件更新中其他改進(jìn)的一部分，”蘋果在周一發(fā)布的修訂支持文件中表示。

最后，iOS 16 還支持Safari網(wǎng)絡(luò)瀏覽器中的密碼，這是一種無密碼登錄機(jī)制，允許用戶通過 Touch ID 或 Face ID 進(jìn)行身份驗(yàn)證來登錄網(wǎng)站和服務(wù)。