近日，蘋果發布了一個緊急安全補丁，以解決兩項被積極利用以入侵iPhone、iPad和Mac的零日漏洞。

這兩項漏洞均由匿名研究人員發現并報告，蘋果公司表示在iOS 15.4.1、iPadOS 15.4.1和macOS Monterey 12.3.1的發布中已解決了該兩項漏洞，并建議用戶盡快安裝安全更新。除此之外，蘋果方面沒有透露任何關于在這些漏洞被如何利用的具體細節。

第一項漏洞是存在于英特爾顯卡驅動程序中的超權限讀取問題，追蹤代碼為CVE-2022-22674，該漏洞允許惡意應用程序讀取內核內存。

這一漏洞的積極利用引起了蘋果公司的注意，公司最近發布的一份報告中稱，超權限讀取問題可能會導致內核內存的泄露。在報告也同時提到了公司的對應建議：“可以通過改進的輸入驗證來解決該漏洞。”

第二項漏洞是一個越界寫入問題，影響AppleAVD媒體解碼器，追蹤代碼為CVE-2022-22675。該漏洞同樣允許惡意應用程序讀取內核內存，從而使應用程序能夠使用內核特權執行任意代碼。

對此，報告給出建議：“通過改進的邊界檢查可以解決越界寫入問題。”

其實，自2022年1月以來，蘋果公司已經解決了三個被積極利用的零日漏洞。1月，公司解決的兩項零日漏洞追蹤代碼分別為CVE-2022-22587和CVE-2022-22594，攻擊者可以利用其在受攻擊的設備上運行任意代碼。2月，解決的是WebKit中一個影響iOS、iPadOS、macOS和Safari的零日漏洞，追蹤代碼為CVE-2022-22620，可以通過處理惡意制作的網頁內容觸發，從而導致任意代碼執行。

參考來源：https://securityaffairs.co/wordpress/129672/security/apple-emergency-patches-zero-days.html