Apple的紧急更新修复了侵入Mac和手表的零日漏洞在5月16日发布的一份安全报告中,Apple透露该公司意识到该安全漏洞“可能正在被积极利用”。该漏洞是AppleAVD(用于音频和视频解码的内核扩展)中的越界写入问题,跟踪编号为CVE-2022-22675,允许应用程序以内核权限执行任意代码。该错误由一位匿名研究人员报告,Apple修复了它并改进了macOSBigSur11.6、watchOS8.6和tvOS15.5中的边界检查。受此漏洞影响的设备包括AppleWatchSeries3及更新机型、运行macOSBigSur的Mac、AppleTV4K、AppleTV4K(第2代)和AppleTVHD。虽然Apple已披露了一些网络攻击报告,但并未发布有关这些攻击的任何其他信息。据推测,苹果很可能希望在攻击者发现零日漏洞的细节并将其用于其他攻击之前通过隐瞒信息来覆盖尽可能多的Mac和AppleWatch设备。虽然此零日漏洞可能仅可用于针对性攻击,但Apple仍强烈建议尽快为macOS和watchOS安装安全更新以阻止攻击企图。2022年零日漏洞列表今年1月,Apple修补了另外两个在野外被利用的零日漏洞。一个漏洞允许攻击者使用内核权限执行任意代码(跟踪编号为CVE-2022-22587),另一个漏洞允许攻击者跟踪网页浏览活动和用户身份(跟踪编号为CVE-2022-22594)。一个月后,Apple发布了一个新的安全更新来修补另一个零日漏洞,跟踪为CVE-2022-22620,该漏洞用于攻击iPhone、iPad和Mac,导致操作系统崩溃并在受感染的Apple设备上远程执行代码.今年3月,Intel图形驱动程序和AppleAVD解码器中还发现了两个活跃的零日漏洞。跟踪代码分别为CVE-2022-22674和CVE-2022-22675。后者仍然活跃在旧版本的macOS、watchOS8.6和tvOS15.5系统中。这五个零日漏洞影响iPhone(iPhone6s及更高版本)、运行macOSMonterey的Mac和各种iPad型号。参考来源:https://www.bleepingcomputer.com/news/security/apple-emergency-update-fixes-zero-day-used-to-hack-macs-watches/
