Apple 已向後移植安全補丁,解決舊款 iPhone 和 iPad 上可遠程利用的零日漏洞。
此錯誤被跟踪為 CVE-2022-42856,它源於 Apple 的 Webkit 網絡瀏覽器瀏覽引擎中的類型混淆弱點。
Apple 表示,谷歌威脅分析小組的 Clément Lecigne 發現的漏洞允許惡意製作的網頁在易受攻擊的設備上執行任意代碼(並可能獲得敏感信息的訪問權限)。
攻擊者可以通過誘騙目標訪問他們控制下的惡意網站來成功利用此漏洞。
一旦實現,任意代碼執行可能允許他們在底層操作系統上執行命令,部署額外的惡意軟件或間諜軟件負載,或觸發其他惡意活動。
在今天發布的安全公告中,Apple 再次表示他們知道有關此安全漏洞“可能已被積極利用”的報導。
該公司通過改進以下設備的狀態處理解決了零日錯誤:iPhone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3 和 iPod touch(第 6 代)。
保護舊設備以阻止攻擊
雖然 Apple 透露它收到了有關積極利用的報告,但該公司尚未發布有關這些攻擊的信息。
通過隱瞞此信息,Apple 可能旨在允許盡可能多的用戶在其他攻擊者獲取零日詳細信息並開始針對易受攻擊的 iPhone 和 iPad 部署自定義漏洞之前為他們的設備打補丁。
儘管此安全漏洞很可能僅用於有針對性的攻擊,但仍強烈建議盡快安裝今天的安全更新以阻止潛在的攻擊企圖。
CISA 於 12 月 14 日將零日漏洞添加到其已知被利用漏洞列表中,要求聯邦民用行政部門 (FCEB) 機構對其進行修補,以保護它們“免受活躍威脅”。
今天,Apple 還修補了其 Safari 網絡瀏覽器及其最新的 macOS、iOS 和 watchOS 版本中的數十個其他安全漏洞。
如若转载,请注明出处:https://www.ozabc.com/it/534500.html