簡述
蘋果近日修補了一個零時差漏洞，此漏洞代號為 CVE-2022-22620，存在於 Webkit 的瀏覽器引擎中，已被攻擊者積極利用其來破壞 iPhone、iPad 和 MacOS 設備。

根據蘋果公司對漏洞的描述，此漏洞是一個 Use-After-Free 問題，與程序運行期間對動態內存的錯誤使用有關。攻擊者可以在運行惡意的網絡內容後在受影響的設備上執行任意代碼。此漏洞還可導致 OS 操作系統的崩潰。

根據 Common Weakness Enumeration 網站上的漏洞描述，最簡單可利用此漏洞的方式為對系統重用釋放後內存的利用，在內存被釋放後引用內存可能導致程序崩潰、使用意外值或執行代碼。造成此類型錯誤通常有兩種常見的原因：錯誤的條件或是程序對由哪部分負責釋放內存產生混淆。

 

受影響設備
此漏洞影響的 Apple 設備包括：iPhone 6s 及更高版本；所有 iPad Pro 機型、iPad Air 2 及更新機型、iPad 第 5 代及更新機型、iPad mini 4 及更新機型、Pod touch 第 7 代，以及運行 macOS Monterey 的桌機和筆記本電腦。

此外，蘋果公司也修補了另一個代號為 CVE-2022-22594 的 WebKit 漏洞，此漏洞會影響 macOS、iOS和 iPadOS 的瀏覽器，並允許監控網站查找用戶可能打開的其他分頁的信息。

 

安全更新
用戶可安裝 OS 15.3.1 和 iPadOS 15.3.1安全更新，而對於尚未顯示可以安裝更新的設備，可選擇到設置裡尋找軟件更新，強制系統更快地更新，以保護自己的設備。
 

參考資料：
https://threatpost.com/apple-patches-actively-exploited-webkit-zero-day/178370/