苹果公司敦促macOS、iPhone和iPad用户立即安装本周发布的各自更新，其中包含对两个正在被积极攻击的零日漏洞的修复。这些补丁针对的漏洞允许攻击者执行任意代码并最终控制设备。

受影响设备可获取iOS 15.6.1和macOS Monterey 12.5.1的补丁。根据苹果周三发布的安全更新，补丁修复了两个漏洞，这些漏洞基本上影响到任何能够运行iOS 15或其桌面操作系统Monterey版本的苹果设备。

其中一个漏洞是内核漏洞（CVE-2022-32894），同时存在于iOS和macOS中。据苹果称，这是一个“越界写入问题，已通过改进边界检查得到解决”。苹果表示，该漏洞允许应用程序以内核权限执行任意代码。苹果以其惯常的模糊措辞称，有报告指出它“可能已被主动利用”。

第二个漏洞被确认为WebKit漏洞（跟踪为CVE-2022-32893），这也是一个越界写入问题，苹果通过改进边界检查进行了处理。据苹果称，该漏洞允许处理恶意制作的网络内容，可导致代码执行，并且也有报告称其正被主动利用。WebKit是为Safari以及所有在iOS上运行的第三方浏览器提供支持的浏览器引擎。

与“飞马”间谍软件类似的情景

这两个漏洞的发现归功于一位匿名研究员，关于它们的更多细节，除了苹果披露的信息外，目前所知甚少。一位专家表示担忧，最新的苹果漏洞“可能有效地让攻击者获得对设备的完全访问权限”，它们可能创造一个类似于“飞马”（Pegasus）间谍软件的情景——当时国家背景的APT组织通过利用iPhone漏洞，使用以色列NSO Group制造的间谍软件对目标进行攻击。

社会证明安全公司（SocialProof Security）的首席执行官雷切尔·托巴克就这些零日漏洞发推文称：“对于大多数人来说：在今天结束前更新软件。如果威胁模型较高（记者、活动人士、被国家针对的目标等）：立即更新。”托巴克警告道。

零日漏洞频现

这些漏洞的披露与谷歌本周的另一条消息同时出现：谷歌正在为其Chrome浏览器修补今年以来的第五个零日漏洞，这是一个正被主动攻击的任意代码执行漏洞。挪威应用安全公司Promon的高级技术总监安德鲁·惠利指出，顶级科技供应商的漏洞不断受到威胁行为者的攻击，这证明尽管顶级科技公司努力解决其软件中常年存在的安全问题，但这仍然是一场艰苦的战斗。

考虑到iPhone的普及以及用户日常生活对移动设备的完全依赖，iOS中的漏洞尤其令人担忧。然而，惠利指出，保护这些设备的责任不仅在于供应商，用户也需要对现有威胁有更多认识。“虽然我们都依赖我们的移动设备，但它们并非无懈可击，作为用户，我们需要像对待桌面操作系统一样保持警惕，”他在给Threatpost的电子邮件中说道。

同时，惠利观察到，鉴于频繁出现的漏洞，为iPhone和其他移动设备开发应用程序的开发者也应该在其技术中添加一层额外的安全控制，以减少对操作系统安全保护的依赖。“我们的经验表明，这种情况还不够普遍，可能会使银行和其他客户面临风险，”他说。