Apple修複0day漏洞:更新(xīn)您的設備!(CVE-2022-32894、CVE-202-32893)
Apple修複0day漏洞:更新(xīn)您的設備!(CVE-2022-32894、CVE-202-32893)
蘋果發布了iOS、iPadOS和macOS Monterey的安(ān)全更新(xīn),以修複CVE-2022-32894和CVE-202-32893,這兩個代碼執行漏洞會被攻擊者利用(yòng)。
關于漏洞(CVE-2022-32894、CVE-202-32893)
CVE-2022-32894是操作(zuò)系統内核中(zhōng)的越界寫入問題,惡意應用(yòng)程序可(kě)以利用(yòng)該問題以内核權限執行任意代碼(并控制整個系統)
CVE-2022-32893是WebKit(蘋果的浏覽器引擎,為(wèi)其Safari web浏覽器和所有(yǒu)iOS web浏覽器提供動力)中(zhōng)的越界寫入問題,可(kě)通過處理(lǐ)惡意制作(zuò)的web内容觸發。它也可(kě)能(néng)導緻任意代碼執行。
這兩起事件都是由一位匿名(míng)研究員報道的。
與往常一樣,蘋果沒有(yǒu)透露利用(yòng)兩個0day漏洞進行攻擊的細節,但很(hěn)可(kě)能(néng)這些漏洞正被用(yòng)于有(yǒu)針對性的攻擊。
然而,所有(yǒu)用(yòng)戶應通過升級到以下位置,盡快實施更新(xīn):
•iOS 15.6.1
•iPadOS 15.6。
•macOS 12.5.1(其他(tā)受支持的macOS版本的更新(xīn)可(kě)能(néng)會在稍後進行)
同時修複:一個Chrome 0day漏洞(CVE-2022-2856)
使用(yòng)谷歌Chrome且未啓用(yòng)自動更新(xīn)的MacOS用(yòng)戶也應确保更新(xīn)該浏覽器,因為(wèi)谷歌推出了一個新(xīn)版本,該版本修複了CVE-2022-2856等漏洞,這是一個影響Chrome意圖的輸入驗證錯誤。
谷歌表示,該0day漏洞已經被谷歌威脅分(fēn)析團隊的Ashley Shen和Christian Ressel标記,谷歌“意識到CVE-2022-2856存在漏洞。”
Sophos首席研究科(kē)學(xué)家保羅·達克林(Paul Ducklin)指出:“Chrome意圖是一種直接從網頁(yè)觸發應用(yòng)程序的機制,其中(zhōng)網頁(yè)上的數據被輸入到一個外部應用(yòng)程序中(zhōng),該應用(yòng)程序被啓動來處理(lǐ)這些數據。”。
“谷歌沒有(yǒu)提供任何詳細信息,說明哪些應用(yòng)程序或何種數據可(kě)能(néng)會被該漏洞惡意操縱(……),但如果已知的攻擊涉及悄悄地向本地應用(yòng)程序提供通常出于安(ān)全原因而被阻止的危險數據,則危險似乎相當明顯。”
除了針對Mac的新(xīn)版Chrome外,谷歌還發布了針對Windows和Linux的新(xīn)版本,修複了相同的漏洞,這些版本将在未來幾天/幾周内推出。
相關新(xīn)聞
-
>數以千計的 QNAP NAS 設備被DeadBolt勒索軟件攻擊 (CVE-2022-27593)
-
>IPguard發布新(xīn)版本4.51.113.0
-
>什麽是數據工(gōng)程師?
-
>IPguard發布新(xīn)版本4.61.123.0
-
>祝賀我司續簽IPguard鑽石代理(lǐ)(最高級)
-
>IPguard發布新(xīn)版本4.54.818.0
-
>GitLab的Critical RCE bug已修補,請盡快更新(xīn)!(CVE-2022-2884)
-
>屏幕水印技(jì )術有(yǒu)哪些表現形态
-
>IPguard發布新(xīn)版本4.53.613.0
-
>修複Atlassian Bitbucket服務(wù)器和數據中(zhōng)心中(zhōng)的關鍵漏洞!(CVE-2022-36804)
