在2023年年初,苹果终于把第一个零日漏洞给修补好了。紧接着,从2月一直到9月,又陆续给用户推送了8个补丁,加上这个最新的CVE-2022-42827,一共是9个。这个漏洞很危险,是因为它能让攻击者在内核权限下执行任意代码,搞坏数据、让应用崩溃,甚至导致系统完全失控。 漏洞是一个匿名研究人员发现的,苹果把iOS 16.1和iPadOS 16的边界检查给强化了,就彻底解决了这个问题。官方在公告里直接说了,已经有野外报告指出这个漏洞可能已经被积极利用,意味着有人在真实场景中检测到了它。 这次受影响的机型不少,包括iPhone 8以后的所有手机,iPad Pro所有型号,iPad Air第三代及以后的,还有iPad第五代和第五代以后的所有mini版本。只要你的设备还停留在iOS 16.1或者iPadOS 16,建议马上通过OTA升级补丁。 苹果这次的做法是先推送补丁再公布细节。他们觉得这样能让用户早点获得防护,免得更多攻击者去攻击那些还没公开的漏洞。官方还强调,虽然现在的攻击可能有针对性,但强烈建议所有受影响的用户赶紧安装更新。 回顾一下这几个月的修补情况:9月修了一个iOS内核的问题;8月解决了两个问题,一个是iOS内核的(CVE-2022-32894),另一个是WebKit的(CVE-2022-32893);3月搞定了Intel Graphics Driver和AppleAVD各一个;2月修了针对iPhone、iPad和Mac的WebKit零日;1月处理了一对高危漏洞,一个是内核权限提升(CVE-2022-22587),另一个是网页活动追踪(CVE-2022-22594)。 从时间线上看,苹果确实在加大安全投入。但说到底,用户自己得把系统保持在最新版本,才能真正挡住攻击者。