Apple 本周发布了紧急安全更新,以解决旧款 iPhone、iPad 和 iPod 上的零日漏洞。
这些补丁于周三推出,解决了一个越界写入问题,攻击者可以利用该问题控制受影响的设备。 美国网络安全和基础设施局 (CISA) 今天鼓励用户和 IT 管理员查看 Apple 的公告 HT213428 并应用必要的更新。
Apple 没有立即回应关于这些漏洞是否已通过积极利用引起其注意的评论请求,但其安全更新确实表示,“Apple 知道一份报告称此问题可能已被积极利用。”
[ 如何选择合适的 UEM 平台 ]
这些软件缺陷列在常见漏洞和暴露 (CVE) 数据库中,该系统由美国国土安全部 (DHS) 的一个部门资助,以确保公开披露安全漏洞和暴露。
“问题是,如果网页以某种方式构建,它可能会导致代码在正常遏制之外的设备上执行,并有效地在设备上创建恶意软件情况,可能会危及数据、联系人、位置、插入恶意软件 SW 等,”J. Gold Associates, LLC 首席分析师 Jack Gold 表示。
“所以这是一件大事,”他补充道。
这些漏洞影响 iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3 和 iPod touch(第 6 代)以及运行旧版 macOS 的计算机。
[‘IT 有一个新的’It Crowd’:加入 CIO Tech Talk 社区]
Gold 指出,该问题影响的是较旧的设备组——而不是较新的型号——这一事实意味着面临风险的设备相对较少。 即便如此,他说,任何拥有旧设备之一的人都应该尽快更新。
虽然为旧设备提供补丁似乎并不重要,但网络犯罪分子特别喜欢未打补丁的旧技术,尤其是当漏洞使他们能够完全控制并能够访问其他系统和服务时。
Malwarebytes 今天在一篇博客文章中说:“攻击者可能会引诱潜在受害者访问特制网站,或利用此漏洞使用恶意广告来破坏易受攻击的系统。” “由于该漏洞存在于 Apple 的 HTML 渲染软件(WebKit)中。 WebKit 为所有 iOS 网络浏览器和 Safari 提供支持,因此可能的目标是 iPhone、iPad 和 Mac,它们都可能被诱骗运行未经授权的代码。”
此问题已在 iOS 15.6.1、iPadOS 15.6.1 和 macOS Monterey 12.5.1 中修复。 Apple 鼓励用户升级到其软件的最新版本。
