苹果又发布了一轮安全更新,解决了iOS和macOS的多个漏洞,其中一个新的零日漏洞已经被利用在野外使用。该问题被标识为CVE-2022-32917,其根源在于一个内核组件,该组件可以使恶意应用程序以内核权限执行任意代码。iPhone制造商在一份简短声明中承认:“Apple知道有关此问题可能已被积极利用的报道,”并补充说,它通过改进绑定检查解决了该错误。这个缺点是由一位匿名研究人员报告的。值得注意的是,CVE-2022-32917也是苹果在不到一个月内修复的第二个与内核相关的零日漏洞。该补丁适用于iOS15.7、iPadOS15.7、iOS16、macOSBigSur11.7和macOSMonterey12.6版本。iOS和iPadOS更新涵盖iPhone6s及更新机型、iPadPro(所有型号)、iPadAir2及更新机型、iPad第5代及更新机型、iPadmini4及更新机型以及iPodtouch(第7代)。自今年年初以来,Apple解决了7个被积极利用的零日漏洞和一个众所周知的零日漏洞-CVE-2022-22587(IOMobileFrameBuffer)-恶意应用程序可能能够以内核权限执行任意代码自年初以来的最新修复CVE-2022-22594(WebKitStorage)-网站可能能够跟踪敏感用户信息(公开但未被积极利用)CVE-2022-22620(WebKit)-处理恶意制作的Web内容可能导致任意代码执行CVE-2022-22674(英特尔显卡驱动程序)-应用程序可能能够读取内核内存CVE-2022-22675(AppleAVD)-应用程序可能能够使用内核权限执行任意代码CVE-2022-32893(WebKit)-处理恶意制作的网页内容可能导致任意代码执行CVE-2022-32894(内核)-应用程序可能能够使用内核映射、MediaLibrary、Safari和WebKit执行任意代码。iOS16更新还包括一个新的锁定模式,旨在使零点击攻击更加困难。iOS更进了一步,引入了一项名为“快速安全响应”的功能,该功能允许用户在iOS设备上自动安装安全修复程序,而无需完整的操作系统更新。“快速安全响应允许重要的安全改进在成为未来软件更新中其他改进的一部分之前更快地交付,”Apple在周一发布的修订支持文件中表示。最后,iOS16还支持Safari网络浏览器中的密码,这是一种无密码登录机制,允许用户使用TouchID或FaceID进行身份验证以登录网站和服务。
