苹果公司敦促macOS、iPhone和iPad用户在本周尽快安装设备的更新文件,这其中包括对两个处于主动攻击下的0 day漏洞的修复。这些漏洞允许攻击者执行任意代码并最终接管设备。
这些补丁可用于运行iOS 15.6.1和macOS Monterey 12.5.1的受影响设备。根据苹果公司周三发布的安全更新,这些补丁解决了两个漏洞,这些漏洞基本上会影响任何可以运行iOS 15或Monterey版本的桌面操作系统的苹果设备。
其中的一个漏洞是一个内核漏洞(CVE-2022-32894),它在iOS和macOS中都存在。据苹果公司称,这是一个越界写入漏洞,该问题可以通过改进边界的检查方案来进行解决。
根据苹果公司的说法,该漏洞允许应用程序以内核权限执行任意代码。苹果公司使用一贯的模糊的公告对外宣称,该漏洞可能已被黑客积极利用了。
第二个漏洞被确定为是WebKit的一个漏洞(被追踪为CVE-2022-32893),这是一个越界写入漏洞,苹果通过改进边界检查方案来解决。据苹果公司称,该漏洞允许浏览器处理恶意制作的网页内容,这可能会导致代码执行漏洞,而且据报道,该漏洞也在被积极利用中。WebKit是为Safari和其他所有在iOS上运行的第三方浏览器提供动力的浏览器引擎。
类似Pegasus的情况
发现这两个漏洞的是一位匿名的研究人员,除了苹果公司披露的信息外,几乎没有其他任何信息。
一位专家对此表示很担心,苹果的最新漏洞可以让攻击者完全进入设备内,他们可能会像Pegasus漏洞一样造成严重的后果。民族国家的APTs曾经利用iPhone的漏洞,用以色列NSO集团的间谍软件对目标进行攻击。
SocialProof Security的首席执行官在推特上说,对于大多数人来说,最好在今天晚上就更新软件。托巴克警告说,如果自己身份很特殊(记者、活动家、或被境外势力盯上等),那么建议现在就进行更新。
0 day漏洞频繁出现
在公布这些漏洞的同时,谷歌本周还公布了其他的消息,即它正在为其Chrome浏览器今年的第五个0 day漏洞进行打补丁,这是一个正在受到攻击的任意代码执行漏洞。
挪威应用安全公司Promon的高级技术总监指出,顶级技术供应商的漏洞一直被威胁者攻击的事实表明,尽管顶级技术公司为解决其软件中长期存在的安全问题做出了很大的努力,但这仍然是一场艰苦的战斗。
他说,考虑到iPhone的普遍性和用户在日常生活中对移动设备的完全依赖,iOS的漏洞令人十分担忧。然而,保护这些设备的责任不仅在于供应商,也在于用户对现有的威胁有更多的了解。
他在给媒体的一封电子邮件中说,虽然我们都非常依赖我们的移动设备,但它们并不是无懈可击的,作为用户,我们需要时刻保持警惕,就像我们在桌面操作系统上做的那样。
与此同时,iPhone和其他移动设备应用程序的开发者也应该在他们的技术中增加一个额外的安全控制层,这样他们就可以减少对操作系统安全性的依赖,因为漏洞可能会经常出现。
他说,我们的经验表明,目前这种情况还不够多,但是很可能会使银行和其他客户受到伤害。
本文翻译自:https://threatpost.com/iphone-users-urged-to-update-to-patch-2-zero-days-under-attack/180448/