近日，蘋果發(fā)布了安全更新以解決一項(xiàng)新的零日漏洞，黑客可以利用該漏洞對(duì)Mac和Apple Watch設(shè)備發(fā)起攻擊。

5月16日發(fā)布的安全報(bào)告中，蘋果方面透露，公司已經(jīng)意識(shí)到這個(gè)安全漏洞“可能正被積極利用”。

該漏洞是一項(xiàng)AppleAVD(音頻和視頻解碼的內(nèi)核擴(kuò)展)中的越界寫入問題，追蹤代碼為CVE-2022-22675，它允許應(yīng)用程序以內(nèi)核權(quán)限執(zhí)行任意代碼。該漏洞由匿名研究人員報(bào)告，隨后蘋果在macOS Big Sur 11.6、watchOS 8.6和 tvOS 15.5系統(tǒng)中對(duì)其修復(fù)并改進(jìn)了邊界檢查。

受該漏洞影響的設(shè)備包括Apple Watch Series 3及更新的機(jī)型、運(yùn)行macOS Big Sur的Mac、Apple TV 4K、Apple TV 4K(第2代)和Apple TV HD等。

雖然蘋果公司披露了一些關(guān)于網(wǎng)絡(luò)攻擊的報(bào)告，但并沒有發(fā)布任何關(guān)于這些攻擊的額外信息。

外界推測，蘋果公司很可能是希望通過隱瞞信息進(jìn)而在攻擊者發(fā)現(xiàn)零日漏洞的細(xì)節(jié)并將它利用于其他攻擊之前，讓安全更新覆蓋盡可能多的Macs和Apple Watch設(shè)備。

雖然這個(gè)零日漏洞很可能只能被運(yùn)用于針對(duì)性進(jìn)攻，但蘋果公司仍然強(qiáng)烈建議盡快安裝macOS和watchOS的安全更新以阻止攻擊企圖。

2022零日漏洞一覽

今年1月，蘋果對(duì)另外兩個(gè)被在野利用的零日漏洞進(jìn)行了修補(bǔ)，一個(gè)漏洞使攻擊者能夠利用內(nèi)核權(quán)限執(zhí)行人任意代碼(追蹤編號(hào)為CVE-2022-22587)，另一個(gè)漏洞使攻擊者能夠跟蹤網(wǎng)頁瀏覽活動(dòng)和用戶身份(追蹤編號(hào)為CVE-2022-22594)。

一個(gè)月后，蘋果發(fā)布了一項(xiàng)新的安全更新，以修補(bǔ)另一個(gè)零日漏洞，漏洞的追蹤編號(hào)為CVE-2022-22620，被用來攻擊iPhone、iPad和Macs設(shè)備，導(dǎo)致操作系統(tǒng)崩潰，并在受損的蘋果設(shè)備上遠(yuǎn)程執(zhí)行代碼。

今年3月，英特爾圖形驅(qū)動(dòng)程序和AppleAVD解碼器中也發(fā)現(xiàn)了兩個(gè)活躍的零日漏洞，追蹤編碼分別為CVE-2022-22674和CVE-2022-22675，后者如今依舊活躍在舊版本macOS、watchOS 8.6和tvOS 15.5系統(tǒng)中。

這5個(gè)零日漏洞會(huì)影響iPhone(iPhone 6s及以上)、運(yùn)行macOS Monterey的Mac和多種iPad型號(hào)的設(shè)備。

參考來源：https://www.bleepingcomputer.com/news/security/apple-emergency-update-fixes-zero-day-used-to-hack-macs-watches/?