苹果公司发布了针对新被积极利用的iOS和iPadOS零日漏洞的补丁

科技巨头苹果周一推出了更新，以修复iOS和iPadOS中的一个零日缺陷，它说它在野外被积极开发。

由于标识符CVE – 2022 – 42827，该弱点已被描述为内核中的越界写问题，它可能被一个流氓应用程序滥用来执行具有最高权限的任意代码。

成功利用越界写入缺陷，通常发生在程序试图将数据写入其允许访问范围之外的内存位置时，可能导致数据损坏、崩溃或执行未经授权的代码。

 iPhone制造商说，它通过改进的边界检查来解决这个问题，同时将一个匿名研究人员报告的漏洞归功于一个匿名研究人员。

与通常零日缺陷的情况一样，苹果公司除了承认它”知道有报告说这个问题可能被广泛利用”之外，没有分享更多关于缺陷的细节。

 CVE – 2022 – 42827是继CVE – 2022 – 32894和CVE – 2022 – 32917之后，苹果公司连续第三个被修补的与内核相关的出界内存漏洞，其中后两个漏洞也曾被报告在现实攻击中被武器化。

安全更新适用于iPhone 8及更高版本、iPad Pro (所有型号)、iPad Air第3代及更高版本、iPad第5代及更高版本和iPad mini第5代及更高版本。

在最新的修复方案中，苹果公司自年初以来已经关闭了8个被积极利用的零日漏洞和一个众所周知的零日漏洞——

·  CVE-2022-22587 ( IOMobileFrameBuffer )——一个恶意应用程序可能能够以内核权限执行任意代码

·  CVE- 2022- 22594 ( WebKit Storage )——网站可能能够跟踪敏感用户信息(公开知名但未被积极利用)

·  CVE- 2022- 22620 ( WebKit ) ——处理恶意构建的Web内容可能导致任意代码执行

·  CVE- 2022- 22674 (英特尔图形驱动程序) ——应用程序可以读取内核内存

·  CVE- 2022- 22675 ( Apple AVD ) ——应用程序可以使用内核特权执行任意代码

·  CVE-2022-32893 ( WebKit ) ——处理恶意构建的Web内容可能导致任意代码执行

·  CVE-2022-32894 (内核) ——应用程序可以使用内核特权执行任意代码

·  CVE-2022-32917 (内核) ——应用程序可以使用内核特权执行任意代码

除了CVE – 2022 – 42827之外，此更新还解决了19个其他安全漏洞，包括内核中的2个、点对点协议( PPP )中的3个、WebKit中的2个以及AppleMobileFileIntegrity、核心蓝牙、IOKit、沙盒等中的1个。