CISA 发出警告,iPhone 内核漏洞正在被利用

安全
据悉,漏洞被追踪为 CVE-2022-48618,由苹果公司的安全研究人员发现并上报,但令人疑惑的是直到2024 年 1 月 9 日才在 2022 年 12 月发布的安全公告更新中披露。

Bleeping Computer 网站消息,CISA 近期警告称,一个影响苹果 iPhone、Mac、 TVs 和手表的内核安全漏洞正在被威胁攻击者积极利用。

据悉,漏洞被追踪为 CVE-2022-48618,由苹果公司的安全研究人员发现并上报,但令人疑惑的是直到2024 年 1 月 9 日才在 2022 年 12 月发布的安全公告更新中披露。目前,苹果公司尚未透露 CVE-2022-48618 漏洞是否在两年前首次发布安全公告时被悄悄修补过。

苹果公司方面透露,具有任意“读写”能力的威胁攻击者能够利用 CVE-2022-48618 漏洞绕过指针验证,该安全功能旨在阻止试图利用内存损坏漏洞的网络攻击,在 iOS 15.7.1 之前发布的 iOS 版本中,CVE-2022-48618 漏洞可能已经被利用了。

受 CVE-2022-48618 漏洞影响的苹果设备非常多,主要包括以下几种型号:

  • iPhone 8 及更新机型、iPad Pro(所有机型)、iPad Air 第三代及更新机型、iPad 第五代及更新机型和 iPad mini 第五代及更新机型;
  • 运行 macOS Ventura 的 Mac;
  • Apple TV 4K、Apple TV 4K(第二代及更新机型)和 Apple TV HD;
  • Apple Watch Series 4 及更高版本。

苹果公司改进了对运行 iOS 16.2 或更高版本、iPadOS 16.2 或更晚版本、macOS Ventura 或更新版本、tvOS 16.2 或更低版本以及 watchOS 9.2 或更高级别的设备检查,解决了 CVE-2022-48618 漏洞问题。

美国勒令联邦机构在 2 月 21 日前打补丁

虽然苹果公司尚未分享有关 CVE-2022-48618 漏洞在野外是否被利用的更多细节,但 CISA 已将该漏洞添加到其已知漏洞目录中,并且命令美国联邦机构按照 2021 年 11 月发布的约束性操作指令 (BOD 22-01) 的要求,在 2 月 21 日前修补 CVE-2022-48618 漏洞。

近期,苹果漏洞频出。上周,苹果公司发布了安全更新,修补了今年首个在网络攻击中被利用的零日漏洞(CVE-2024-23222)。该漏洞是一个 WebKit 混乱问题,威胁攻击者可利用其在有漏洞的 iPhone、Mac 和苹果电视上执行代码。

同一天,苹果公司还向旧版 iPhone 和 iPad 机型回传了针对另外两个 WebKit 零日漏洞的安全更新补丁,这两个漏洞分别被追踪为 CVE-2023-42916 和 CVE-2023-42917,已经在 11 月份为较新的设备打上更新补丁了。

参考文章:https://www.bleepingcomputer.com/news/security/cisa-warns-of-patched-iphone-kernel-bug-now-exploited-in-attacks/

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2022-04-20 14:54:35

漏洞网络攻击Windows

2024-01-05 11:44:13

2021-11-26 15:03:51

Windows零日漏洞恶意软件

2022-06-07 11:20:33

零日漏洞漏洞网络攻击

2021-11-19 14:23:39

漏洞网络安全网络攻击

2010-06-08 21:14:35

2022-08-10 18:18:20

网络安全漏洞CISA

2013-09-24 13:46:28

2021-11-03 12:33:36

密码喷射攻击微软网络攻击

2022-07-21 14:13:37

勒索软件暗网

2023-12-21 17:51:38

2013-05-03 10:18:51

2021-11-03 12:30:53

FBI勒索软件赎金

2023-10-18 16:36:40

2022-04-20 12:07:12

漏洞网络攻击网络安全

2021-09-08 10:35:43

黑客零日漏洞攻击

2022-02-14 10:49:31

加密货币货币美国联邦贸易委员会

2018-08-06 14:59:07

2023-02-09 16:07:01

系统Windows 11

2023-08-23 11:44:37

点赞
收藏

51CTO技术栈公众号