苹果产品中发现新的主动利用零日漏洞

苹果周二推出了iOS、iPadOS、macOS、tvOS和Safari网络浏览器的安全更新，以解决可能导致恶意代码执行的新的零日漏洞。

跟踪为CVE-2022-42856，这家科技巨头将此问题描述为WebKit浏览器引擎中的类型混淆问题，在处理精心制作的内容时可能会触发此问题，从而导致任意代码执行。

苹果公司表示，它“知道有报道称，这个问题可能被积极利用来攻击iOS 15.1之前发布的iOS版本。”

虽然目前还不清楚这些攻击的确切性质，但很可能涉及一个社会工程案例，或者通过浏览器访问恶意或合法但受危害的域时感染设备的漏洞。

值得注意的是，由于苹果公司的限制，所有适用于iOS和iPadOS的第三方网络浏览器，包括Google Chrome、Mozilla Firefox和Microsoft Edge等，都必须使用WebKit渲染引擎。

谷歌威胁分析小组（TAG）的ClementLecigne发现并报告了这一问题。苹果指出，它通过改进状态处理解决了这个问题。

苹果于2022年11月30日在iOS 16.1.2中修补了相同的错误，两周后，苹果发布了iOS 15.7.2、iPadOS 15.7.2、macOS Ventura 13.1、tvOS 16.2和Safari 16.2的更新。

此次修复标志着苹果软件自年初以来第十个零日漏洞的解决。这也是2022年第九个积极利用的零日漏洞-

• 电子邮箱2022-22587（IOMobileFrameBuffer）–恶意应用程序可能能够以内核权限执行任意代码
• 电子邮箱2022-22594（WebKit存储）–网站可能能够跟踪敏感用户信息（已知但未被主动利用）
• CVE-2022-22620（WebKit）–处理恶意制作的web内容可能导致任意代码执行
• 电子邮箱2022-22674（英特尔图形驱动程序）–应用程序可能能够读取内核内存
• 电子邮箱2022-22675（AppleAVD）–应用程序可以使用内核权限执行任意代码
• 电子邮箱2022-32893（WebKit）–处理恶意制作的web内容可能导致任意代码执行
• 电子邮箱2022-32894（内核）–应用程序可以使用内核权限执行任意代码
• 电子邮箱2022-32917（内核）–应用程序可以使用内核权限执行任意代码
• 电子邮箱2022-42827（内核）–应用程序可以使用内核权限执行任意代码

最新的iOS、iPadOS和macOS更新还引入了一种名为iCloud的高级数据保护的新安全功能，该功能将端到端加密（E2EE）扩展到‌；iCloud‌；备份、笔记、照片等。