iPhone用户被敦促更新以修复两个零日漏洞

苹果敦促macOS、iPhone和iPad用户立即安装本周发布的各自更新，其中包含针对两个正遭受活跃攻击的零日漏洞的修复程序。这些补丁针对的是允许攻击者执行任意代码并最终控制设备的漏洞。

受影响的设备可获取适用于运行iOS 15.6.1和macOS Monterey 12.5.1的补丁。根据苹果周三发布的安全更新，这些补丁解决了两个漏洞，基本上影响任何可以运行iOS 15或Monterey版本桌面操作系统的苹果设备。

其中一个漏洞是内核错误（CVE-2022-32894），同时存在于iOS和macOS中。根据苹果的说法，这是一个"越界写入问题[已通过改进的边界检查解决]"。

该漏洞允许应用程序以内核权限执行任意代码，据苹果以通常模糊的方式表示，有报告称它"可能已被积极利用"。

第二个漏洞被识别为WebKit错误（跟踪为CVE-2022-32893），这是一个越界写入问题，苹果通过改进的边界检查解决了这个问题。根据苹果的说法，该漏洞允许处理恶意制作的网页内容，可能导致代码执行，并且也有报告称正在被积极利用。WebKit是为Safari和所有其他在iOS上工作的第三方浏览器提供支持的浏览器引擎。

Pegasus类似场景

这两个漏洞的发现归功于一位匿名研究人员，除了苹果的披露外，关于这些漏洞的更多信息尚不清楚。

一位专家表示担心，最新的苹果漏洞"可能有效地让攻击者完全访问设备"，它们可能创造类似Pegasus的场景，类似于国家支持的APT组织通过利用iPhone漏洞用以色列NSO集团制造的间谍软件轰炸目标的情况。

“对大多数人来说：在今天结束前更新软件，“SocialProof Security首席执行官Rachel Tobac在关于这些零日漏洞的推文中说。“如果威胁模型升高（记者、活动家、被国家针对等）：立即更新，“Tobac警告说。

零日漏洞 abound

这些漏洞的披露与谷歌本周的其他消息同时出现，谷歌正在为其Chrome浏览器修补今年以来的第五个零日漏洞，这是一个正遭受活跃攻击的任意代码执行错误。

挪威应用安全公司Promon的高级技术总监Andrew Whaley指出，顶级科技供应商再次出现被威胁行为者利用的漏洞，这表明尽管顶级科技公司尽力解决其软件中的长期安全问题，但这仍然是一场艰苦的战斗。

他说，考虑到iPhone的普遍性和用户对移动设备的完全依赖，iOS中的漏洞尤其令人担忧。然而，Whaley观察到，保护这些设备的责任不仅在于供应商，还在于用户要更加意识到现有威胁。

“虽然我们都依赖移动设备，但它们并非无懈可击，作为用户，我们需要保持警惕，就像在桌面操作系统上一样，“他在给Threatpost的电子邮件中说。

同时，Whaley观察到，鉴于经常出现的漏洞，为iPhone和其他移动设备开发应用程序的开发人员也应该在其技术中添加额外的安全控制层，这样它们就不那么依赖操作系统安全来保护。

“我们的经验表明，这种情况发生得不够，可能使银行和其他客户容易受到攻击，“他说。