近日，苹果苹果发布了一个紧急安全补丁，发布以解决两项被积极利用以入侵iPhone、紧急极利iPad和Mac的补丁被积零日漏洞。

这两项漏洞均由匿名研究人员发现并报告，修复苹果公司表示在iOS 15.4.1、零日漏洞iPadOS 15.4.1和macOS Monterey 12.3.1的苹果发布中已解决了该两项漏洞，并建议用户尽快安装安全更新。发布除此之外，紧急极利苹果方面没有透露任何关于在这些漏洞被如何利用的补丁被积具体细节。

第一项漏洞是修复存在于英特尔显卡驱动程序中的超权限读取问题，追踪代码为CVE-2022-22674，零日漏洞该漏洞允许恶意应用程序读取内核内存。苹果

这一漏洞的发布积极利用引起了苹果公司的云服务器提供商注意，公司最近发布的紧急极利一份报告中称，超权限读取问题可能会导致内核内存的泄露。在报告也同时提到了公司的对应建议：“可以通过改进的输入验证来解决该漏洞。”

第二项漏洞是一个越界写入问题，影响AppleAVD媒体解码器，追踪代码为CVE-2022-22675。该漏洞同样允许恶意应用程序读取内核内存，从而使应用程序能够使用内核特权执行任意代码。

对此，报告给出建议：“通过改进的边界检查可以解决越界写入问题。”

其实，自2022年1月以来，源码库苹果公司已经解决了三个被积极利用的零日漏洞。1月，公司解决的两项零日漏洞追踪代码分别为CVE-2022-22587和CVE-2022-22594，攻击者可以利用其在受攻击的设备上运行任意代码。2月，解决的是WebKit中一个影响iOS、iPadOS、macOS和Safari的零日漏洞，追踪代码为CVE-2022-22620，可以通过处理恶意制作的网页内容触发，从而导致任意代码执行。

参考来源：https://securityaffairs.co/wordpress/129672/security/apple-emergency-patches-zero-days.html