蘋果敦促iPhone用戶盡快更新到零風險版本

蘋果公司敦促macOS、iPhone和iPad用戶在本周盡快安裝設備的更新文件，這其中包括對兩個處于主動攻擊下的0 day漏洞的修復。這些漏洞允許攻擊者執行任意代碼并最終接管設備。

這些補丁可用于運行iOS 15.6.1和macOS Monterey 12.5.1的受影響設備。根據蘋果公司周三發布的安全更新，這些補丁解決了兩個漏洞，這些漏洞基本上會影響任何可以運行iOS 15或Monterey版本的桌面操作系統的蘋果設備。

其中的一個漏洞是一個內核漏洞（CVE-2022-32894），它在iOS和macOS中都存在。據蘋果公司稱，這是一個越界寫入漏洞，該問題可以通過改進邊界的檢查方案來進行解決。

根據蘋果公司的說法，該漏洞允許應用程序以內核權限執行任意代碼。蘋果公司使用一貫的模糊的公告對外宣稱，該漏洞可能已被黑客積極利用了。

第二個漏洞被確定為是WebKit的一個漏洞（被追蹤為CVE-2022-32893），這是一個越界寫入漏洞，蘋果通過改進邊界檢查方案來解決。據蘋果公司稱，該漏洞允許瀏覽器處理惡意制作的網頁內容，這可能會導致代碼執行漏洞，而且據報道，該漏洞也在被積極利用中。WebKit是為Safari和其他所有在iOS上運行的第三方瀏覽器提供動力的瀏覽器引擎。

類似Pegasus的情況

發現這兩個漏洞的是一位匿名的研究人員，除了蘋果公司披露的信息外，幾乎沒有其他任何信息。

一位專家對此表示很擔心，蘋果的最新漏洞可以讓攻擊者完全進入設備內，他們可能會像Pegasus漏洞一樣造成嚴重的后果。民族國家的APTs曾經利用iPhone的漏洞，用以色列NSO集團的間諜軟件對目標進行攻擊。

SocialProof Security的首席執行官在推特上說，對于大多數人來說，最好在今天晚上就更新軟件。托巴克警告說，如果自己身份很特殊（記者、活動家、或被境外勢力盯上等），那么建議現在就進行更新。

0day漏洞頻繁出現

在公布這些漏洞的同時，谷歌本周還公布了其他的消息，即它正在為其Chrome瀏覽器今年的第五個0 day漏洞進行打補丁，這是一個正在受到攻擊的任意代碼執行漏洞。

挪威應用安全公司Promon的高級技術總監指出，頂級技術供應商的漏洞一直被威脅者攻擊的事實表明，盡管頂級技術公司為解決其軟件中長期存在的安全問題做出了很大的努力，但這仍然是一場艱苦的戰斗。

他說，考慮到iPhone的普遍性和用戶在日常生活中對移動設備的完全依賴，iOS的漏洞令人十分擔憂。然而，保護這些設備的責任不僅在于供應商，也在于用戶對現有的威脅有更多的了解。

他在給媒體的一封電子郵件中說，雖然我們都非常依賴我們的移動設備，但它們并不是無懈可擊的，作為用戶，我們需要時刻保持警惕，就像我們在桌面操作系統上做的那樣。

與此同時，iPhone和其他移動設備應用程序的開發者也應該在他們的技術中增加一個額外的安全控制層，這樣他們就可以減少對操作系統安全性的依賴，因為漏洞可能會經常出現。

他說，我們的經驗表明，目前這種情況還不夠多，但是很可能會使銀行和其他客戶受到傷害。