Apple发布关键零日漏洞修复

Apple于周四发布了针对iPhone、iPad和Mac的两个关键零日漏洞的修复程序。这些漏洞允许黑客访问设备操作系统的内部，具有极高的危险性。

漏洞详情

• CVE-2022-22675：该漏洞存在于macOS Monterey以及大多数iPhone和iPad的iOS或iPadOS中。由于越界写入问题，黑客能够执行具有内核权限的恶意代码，这是操作系统中最敏感的安全区域。
• CVE-2022-22674：该漏洞同样源于越界读取问题，可能导致内核内存泄露。

Apple在此处和此处提供了漏洞的基本信息，并表示“Apple已收到报告，表明这些漏洞可能已被积极利用。”

零日漏洞频发

CVE-2022-22674和CVE-2022-22675是Apple今年修复的第四和第五个零日漏洞。

• 2022年1月：Apple紧急发布了针对iOS、iPadOS、macOS Monterey、watchOS、tvOS和HomePod Software的补丁，修复了一个可能导致攻击者执行具有内核权限的代码的内存损坏漏洞（CVE-2022-22587）。此外，另一个漏洞（CVE-2022-22594）使得网站能够追踪敏感用户信息，且该漏洞的利用代码在补丁发布前已公开。
• 2022年2月：Apple修复了Webkit浏览器引擎中的一个“释放后使用”漏洞（CVE-2022-22620），该漏洞允许攻击者在iPhone、iPad和iPod Touch上运行恶意代码，且可能已被积极利用。

2021年零日漏洞回顾

根据Google安全研究人员维护的电子表格，Apple在2021年共修复了12个零日漏洞。其中包括iMessage中的一个漏洞，Pegasus间谍软件框架利用零点击漏洞进行攻击，即设备仅需接收恶意消息即可被感染，无需用户操作。此外，Apple在2021年5月修复的两个零日漏洞使得攻击者能够感染完全更新的设备。

总结

Apple近期频繁修复零日漏洞，这些漏洞具有极高的危险性，可能已被黑客积极利用。用户应及时更新设备以保护安全。