Apple修復0day漏洞:更新您的設備!(CVE-2022-32894、CVE-202-32893)
Apple修復0day漏洞:更新您的設備!(CVE-2022-32894、CVE-202-32893)
蘋果發布了iOS、iPadOS和macOS Monterey的安全更新,以修復CVE-2022-32894和CVE-202-32893,這兩個代碼執行漏洞會被攻擊者利用。
關于漏洞(CVE-2022-32894、CVE-202-32893)
CVE-2022-32894是操作系統內核中的越界寫入問題,惡意應用程序可以利用該問題以內核權限執行任意代碼(并控制整個系統)
CVE-2022-32893是WebKit(蘋果的瀏覽器引擎,為其Safari web瀏覽器和所有iOS web瀏覽器提供動力)中的越界寫入問題,可通過處理惡意制作的web內容觸發。它也可能導致任意代碼執行。
這兩起事件都是由一位匿名研究員報道的。
與往常一樣,蘋果沒有透露利用兩個0day漏洞進行攻擊的細節,但很可能這些漏洞正被用于有針對性的攻擊。
然而,所有用戶應通過升級到以下位置,盡快實施更新:
?iOS 15.6.1
?iPadOS 15.6。
?macOS 12.5.1(其他受支持的macOS版本的更新可能會在稍后進行)
同時修復:一個Chrome 0day漏洞(CVE-2022-2856)
使用谷歌Chrome且未啟用自動更新的MacOS用戶也應確保更新該瀏覽器,因為谷歌推出了一個新版本,該版本修復了CVE-2022-2856等漏洞,這是一個影響Chrome意圖的輸入驗證錯誤。
谷歌表示,該0day漏洞已經被谷歌威脅分析團隊的Ashley Shen和Christian Ressel標記,谷歌“意識到CVE-2022-2856存在漏洞。”
Sophos首席研究科學家保羅·達克林(Paul Ducklin)指出:“Chrome意圖是一種直接從網頁觸發應用程序的機制,其中網頁上的數據被輸入到一個外部應用程序中,該應用程序被啟動來處理這些數據。”。
“谷歌沒有提供任何詳細信息,說明哪些應用程序或何種數據可能會被該漏洞惡意操縱(……),但如果已知的攻擊涉及悄悄地向本地應用程序提供通常出于安全原因而被阻止的危險數據,則危險似乎相當明顯。”
除了針對Mac的新版Chrome外,谷歌還發布了針對Windows和Linux的新版本,修復了相同的漏洞,這些版本將在未來幾天/幾周內推出。
相關新聞
-
>數以千計的 QNAP NAS 設備被DeadBolt勒索軟件攻擊 (CVE-2022-27593)
-
>IPguard發布新版本4.61.123.0
-
>IPguard發布新版本4.54.818.0
-
>IPguard發布新版本4.51.113.0
-
>祝賀我司續簽IPguard鉆石代理(最高級)
-
>什么是數據工程師?
-
>IPguard發布新版本4.53.613.0
-
>GitLab的Critical RCE bug已修補,請盡快更新!(CVE-2022-2884)
-
>屏幕水印技術有哪些表現形態
-
>注意!!!Cisco身份認證服務引擎中的漏洞(CVE-2022-20822、CVE-2022-20959)
