Apple 悄悄推出了更多 iOS 更新,以修复本月早些时候在较新设备中修复的一个被积极利用的零日安全漏洞。 该漏洞位于 WebKit 中,可让攻击者创建允许在用户设备上执行远程代码 (RCE) 的恶意 Web 内容。
更新 周三发布的 iOS 12.5.6 适用于以下机型:iPhone 5S、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3 和 iPod touch 第 6 代。
有问题的缺陷(CVE-2022-32893) 被 Apple 描述为 WebKit 中的越界写入问题。 它在补丁中通过改进的边界检查得到解决。 Apple 承认该漏洞正在被积极利用,并敦促受影响设备的用户立即更新。
苹果已经修复了一些设备的漏洞——以及一个被跟踪为 CVE-2022-32894 的内核漏洞—— 八月初 在 iOS 15.6.1 中。 那是 更新 涵盖 iPhone 6S 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch(第 7 代)。
最新一轮的补丁似乎是苹果通过增加对运行旧版本 iOS 的 iPhone 的保护来覆盖其所有基础,安全布道者 Paul Ducklin 指出。
“我们猜测,Apple 一定遇到了至少一些知名(或高风险,或两者兼有)的旧手机用户,他们以这种方式受到损害,并决定推出对所有人的保护作为特殊预防措施, “ 他写了 在一篇文章中 在 Sophos Naked Security 博客上。
Ducklin 解释说,Apple 修复两个 iOS 版本中的错误的双重覆盖是由于在哪些 iPhone 上运行的平台版本发生了变化。
他说,在苹果发布 iOS 13.1 和 iPadOS 13.1 之前,iPhone 和 iPad 使用相同的操作系统,这两种设备都称为 iOS。 现在,iOS 12.x 涵盖 iPhone 6 及更早的设备,而 iOS 13.1 及更高版本可在 iPhone 6s 及之后发布的设备上运行。
苹果本月早些时候修补的另一个零日漏洞 CVE-2022-32894 是一个内核漏洞,可以控制整个设备。 但是,尽管 iOS 13 受到该缺陷的影响——因此在较早的更新中获得了补丁——但它不会影响 iOS 12,Ducklin 观察到,“这几乎可以肯定地避免了操作系统本身完全受损的风险”设备。
WebKit:广泛的网络攻击面
WebKit 是支持 Safari 和所有其他在 iOS 上运行的第三方浏览器的浏览器引擎。 通过利用 CVE-2022-32893,攻击者可以将恶意内容构建到网站中。 然后,如果有人从受影响的 iPhone 访问该站点,则攻击者可以在他或她的设备上远程执行恶意软件。
总的来说,WebKit 在让用户暴露于漏洞方面一直是 Apple 的眼中钉,因为它从 iPhone 和其他 Apple 设备传播到使用它的其他浏览器——包括 Firefox、Edge 和 Chrome——使潜在的数百万用户面临风险给定的错误。
“请记住,WebKit 错误存在于 Safari 下方的软件层,松散地说,因此 Apple 自己的 Safari 浏览器并不是唯一面临此漏洞风险的应用程序,”Ducklin 观察到。
此外,任何在 iOS 上出于一般浏览以外的目的显示网络内容的应用程序——例如在其帮助页面、它的 “关于” 他补充说,屏幕,甚至是内置的“迷你浏览器”——在后台使用 WebKit。
“换句话说,仅仅‘避免使用 Safari’并坚持使用第三方浏览器并不是 [针对 WebKit 错误] 的合适解决方法,”Ducklin 写道。
苹果受到攻击
专家表示,虽然用户和专业人士传统上认为 Apple 的 Mac 和 iOS 平台比 Microsoft Windows 更安全——出于多种原因,这通常是正确的——但这种趋势正在开始转变。
事实上,一种新兴的威胁环境显示出对针对更普遍的 Web 技术而不是操作系统本身的兴趣 扩大了目标 根据苹果的说法 威胁报告 XNUMX 月发布,公司的防御性补丁策略反映了这一点。
苹果今年至少修补了四个零日漏洞,其中两个针对以前的 iOS 和 macOS 漏洞的补丁即将到来 一月 和一个在 二月 — 后者修复了 WebKit 中另一个被积极利用的问题。
此外,去年 Google 零日项目的研究人员发现了 12 个零日威胁中的 57 个 追踪 与 Apple 相关(即超过 20%),存在影响 macOS、iOS、iPadOS 和 WebKit 的问题。
