iPhone用户紧急更新修复两个零日漏洞

苹果敦促macOS、iPhone和iPad用户立即安装本周发布的安全更新，修复两个正被积极攻击的零日漏洞。这些补丁针对的漏洞允许攻击者执行任意代码并最终完全控制设备。

受影响的设备可安装iOS 15.6.1和macOS Monterey 12.5.1更新。根据苹果周三发布的安全公告，这两个漏洞基本上影响所有能运行iOS 15或macOS Monterey的苹果设备。

其中一个漏洞是内核漏洞（CVE-2022-32894），同时存在于iOS和macOS中。苹果称这是一个“越界写入问题，已通过改进边界检查解决”。该漏洞允许应用程序以内核权限执行任意代码，苹果以一贯模糊的方式表示，有报告称它“可能已被积极利用”。

第二个漏洞是WebKit漏洞（跟踪为CVE-2022-32893），同样是一个越界写入问题，苹果通过改进边界检查解决。该漏洞允许处理恶意制作的网页内容，可能导致代码执行，据苹果称也已报告被积极利用。WebKit是Safari和所有其他在iOS上运行的第三方浏览器的引擎。

Pegasus类似场景

这两个漏洞的发现归功于一位匿名研究人员，除了苹果的披露外，关于它们的更多信息尚不清楚。一位专家表示担心，最新的苹果漏洞“可能 effectively 让攻击者完全访问设备”，它们可能创造类似Pegasus的场景，类似于国家支持的APT组织通过利用iPhone漏洞用以色列NSO集团的间谍软件轰炸目标。

SocialProof Security首席执行官Rachel Tobac在推特上就这些零日漏洞表示：“对大多数人来说：在今天结束前更新软件。如果威胁模型较高（记者、活动家、被国家针对等）：立即更新。”

零日漏洞层出不穷

这些漏洞的披露与谷歌本周的其他消息同时出现，谷歌正在修补其Chrome浏览器今年的第五个零日漏洞，这是一个正被积极攻击的任意代码执行漏洞。

挪威应用安全公司Promon的高级技术总监Andrew Whaley指出，顶级科技供应商的更多漏洞被威胁行为者攻击的消息表明，尽管顶级科技公司努力解决其软件中 perennial 的安全问题，但这仍然是一场艰苦的战斗。

他说，鉴于iPhone的普遍性和用户对移动设备的完全依赖，iOS中的漏洞尤其令人担忧。然而，Whaley观察到，保护这些设备的责任不仅在于供应商，还在于用户要更加意识到现有威胁。

他在给Threatpost的电子邮件中表示：“虽然我们都依赖移动设备，但它们并非无懈可击，作为用户，我们需要保持警惕，就像在桌面操作系统上一样。”

同时，Whaley观察到，鉴于频繁出现的漏洞，为iPhone和其他移动设备开发应用程序的开发人员也应在技术中添加额外的安全控制层，以减少对操作系统安全保护的依赖。

他说：“我们的经验表明，这做得不够，可能使银行和其他客户 vulnerable。”