iPhone用户需立即更新以修复2个零日漏洞

作者：Elizabeth Montalbano
2022年8月19日上午11:25
2分钟阅读

苹果敦促macOS、iPhone和iPad用户立即安装本周发布的安全更新，修复两个正被主动攻击利用的零日漏洞。这些补丁针对允许攻击者执行任意代码并最终控制设备的漏洞。

受影响设备可运行iOS 15.6.1和macOS Monterey 12.5.1的更新。根据苹果周三发布的安全公告，补丁修复了两个漏洞，基本上影响所有能运行iOS 15或Monterey桌面操作系统的苹果设备。

其中一个漏洞是内核漏洞（CVE-2022-32894），同时存在于iOS和macOS中。苹果称这是一个“越界写入问题，已通过改进边界检查解决”。该漏洞允许应用程序以内核权限执行任意代码，苹果以一贯模糊的表述称“有报告表明该漏洞可能已被主动利用”。

第二个漏洞是WebKit漏洞（追踪为CVE-2022-32893），同样是一个越界写入问题，苹果通过改进边界检查解决。该漏洞允许处理恶意制作的网页内容，可能导致代码执行，苹果也表示已收到主动利用报告。WebKit是Safari及iOS上所有第三方浏览器的引擎。

类似Pegasus的攻击场景

这两个漏洞的发现归功于一位匿名研究人员，除苹果披露的信息外细节甚少。一位专家担忧最新苹果漏洞“可能 effectively 让攻击者完全访问设备”，可能创造类似Pegasus的场景——类似国家支持的APT组织通过利用iPhone漏洞用以色列NSO集团的间谍软件轰炸目标。

SocialProof Security首席执行官Rachel Tobac就零日漏洞发推文建议：“对大多数人：今天结束前更新软件。如果威胁模型较高（记者、活动家、被国家针对等）：立即更新。”

这些漏洞的披露与谷歌本周消息同时出现：谷歌正在修补Chrome浏览器今年第五个零日漏洞，这是一个正被主动利用的任意代码执行漏洞。

挪威应用安全公司Promon高级技术总监Andrew Whaley指出，顶级科技厂商不断被威胁攻击者轰炸的漏洞新闻表明，尽管一线科技公司尽力解决软件中的长期安全问题，这仍是一场艰苦的战斗。

考虑到iPhone的普及和用户对移动设备的完全依赖，iOS中的漏洞尤其令人担忧。但他观察到，责任不仅在于厂商保护这些设备，用户也需要更清楚现有威胁。

“虽然我们都依赖移动设备，但它们并非无懈可击，作为用户我们需要保持警惕，就像在桌面操作系统上一样，”他在给Threatpost的电子邮件中表示。

同时，考虑到频繁出现的漏洞，iPhone和其他移动设备的应用开发者还应在其技术中添加额外的安全控制层，以减少对操作系统安全保护的依赖。

“我们的经验表明，这做得不够，可能使银行和其他客户处于脆弱状态，”他说。

分享这篇文章：

相关标签： 黑客、移动安全、新闻、漏洞

本文基于Threatpost安全新闻翻译，聚焦苹果零日漏洞与安全更新动态。