Apple 已经确认,它在两周前发布的 iPhone 软件更新修复了一个零日安全漏洞,它现在表示该漏洞已被积极利用。
该更新iOS 16.1.2于 11 月 30 日登陆,并向所有受支持的 iPhone 推出,包括 iPhone 8 及更高版本,并带有未指明的“重要安全更新”。
周二,苹果公司在其安全更新页面的一份披露中表示,该更新修复了 WebKit 中的一个缺陷,WebKit 是为 Safari 和其他应用程序提供支持的浏览器引擎,如果被利用,可能会允许恶意代码在用户的设备上运行。该错误称为零日漏洞,因为供应商收到零日通知以修复该漏洞。
苹果表示,谷歌的威胁分析小组负责调查国家支持的间谍软件、黑客攻击和网络攻击,他们发现了 WebKit 漏洞。
当一个人在他们的浏览器中(或通过应用内浏览器)访问恶意域时,WebKit 错误经常被利用。不法分子发现针对 WebKit 的漏洞作为侵入设备操作系统和用户私人数据的方式并不少见。 WebKit 错误可以“链接”到其他漏洞以突破设备的多层防御。
Apple 今天表示,它知道该漏洞是针对 2021 年 10 月发布的“iOS 15.1 之前发布的 iOS 版本”被利用的。因此,对于那些尚未更新到 iOS 16 的用户,Apple还发布了iOS 和iPadOS 15.7.2 为运行 iPhone 6s 及更高版本和部分 iPad 机型的用户修复了 WebKit 漏洞。
该错误被跟踪为 CVE-2022-42856 或WebKit 247562 。目前尚不清楚苹果为何出于某种原因隐瞒该错误的详细信息两周。苹果发言人没有回复置评请求。
Apple此后发布了 iOS 16.2 ,其中包括对 iCloud 中备份数据的端到端加密和其他新功能。
Apple 修复了影响大多数 iPhone 的“被积极利用的”零日漏洞,作者Zack Whittaker最初发表于TechCrunch
原文: https://techcrunch.com/2022/12/13/apple-zero-day-webkit-iphone/