Apple呼吁旗下iPhone、Mac以及iPad的用户尽快安装本周推送的更新,因为更新中包括了针对2个活跃零日漏洞的修补,而这两个零日漏洞可以让攻击者执行任意代码攻击并且最终夺得目标计算机的控制。
根据Apple发布的安全更新告示,这次的更新的目标设备,是那些可以运行iOS 15,或者Monterey版本的macOS。其中一个漏洞是内核BUG CVE-2022-32894,在iOS以及macOS中都有出现,Apple表示这是一个“通过改进边界检查解决的越界写入问题”。这个漏洞可以让应用程序以内核权限执行任意代码。而按照Apple的说法,这个漏洞应该是已经有人利用起来了。
另外一个漏洞就是属于Webkit的BUG,CVE代号为CVE-2022-32893,同样也是通过改进边界检查解决的越界写入问题。它可以允许处理任何有恶意的网页内容,Apple也确忘这个BUG同样也是有人在利用来攻击目标计算机。Webkit是Safari以及全部可以在iOS上运行的第三方浏览器的浏览器引擎。
这两个漏洞是由一位匿名研究人员发现,除了Apple所披露的讯息之外人们对此知之甚少。有网络安全研究人员担心最新的这些Apple装置漏洞基本上可以让攻击者完全获得设备的控制权。安全研究员表示,由于人们对移动设备的依赖并不比计算机低甚至过之而无不及,因此对于这些设备的网络安全也不能够掉以轻心。同时,应用程序开发者也应该在他们的应用之中加入额外的安全控制措施,减少对系统安全措施的依赖。