苹果曝出严重安全漏洞，等于给了黑客万能钥匙-财经界

苹果公司没有透露有关这一漏洞的更多细节，只是说它是由一位匿名研究人员发现的。“0天的漏洞意味着它刚刚被发现，还没有被公开，这是一个很大的威胁。”某民营互联网安全机构网络利刀安全团队成员伦伦告诉《第一财经日报》，由于苹果公司非常关注安全漏洞，所以“相对罕见”出现0day级别的漏洞，但漏洞不是上限级别，建议苹果用户及时升级系统。

360漏洞研究所还告诉记者，该漏洞影响范围很广，几乎影响到所有苹果设备，苹果中国没有回应记者关于该漏洞是否被利用、是否造成损失以及未来将如何处理类似漏洞的置评请求。然而，苹果公司现在公开宣称已经找到了解决方案，并敦促用户立即下载最新的更新来修复这个漏洞。

据了解，该漏洞影响的设备包括手机、平板电脑和电脑“苹果三片”:手机包括iPhone 6S及以后的型号;平板电脑包括第五代及以后的iPad、完整版iPad Pro和iPad Air 2;这台电脑是一台运行MacOS Monterey的Mac。此外，该漏洞还会影响某些型号的iPod。

从公开信息可以看出，该漏洞主要利用了苹果WebKit代码执行漏洞(CVE-2022-)32893和苹果内核权限增强漏洞(CVE-2022-32894)。“根据这个理论，Apple Webkit是一个用于Safari、Mail、App Store、iOS和Linux的浏览器引擎。当Apple Webkit处理恶意制作的Web内容时，它可能导致任意代码执行。并执行任何具有内核权限的代码”。需要指出的是，CVE指的是常见的漏洞和暴露。深圳科技研究院院长张晓荣称，这一漏洞相当于给了黑客一把万能钥匙，让他们可以随时访问用户的终端。

他还表示，国内多个安全团队发现该漏洞已被利用，这意味着外部攻击组正在利用此类漏洞。“目前，主要安全供应商的反馈尚未广泛传播，“这就是我们所说的‘零日漏洞’，这个漏洞已经被黑客利用，并且能够在公司发现之前做出反应。”

不过，张勇指出，苹果设备中的漏洞相对来说是一个赢家。虽然道尔的数量要少得多，但随着苹果用户基数的增长，其系统越来越成为黑客的目标，安全漏洞也变得越来越严重。事实上，苹果公司在其历史上曾多次遭遇重大入侵。例如，2016年的Trident漏洞与本次修复的漏洞类似。还有2021年的forceentry漏洞，这可能是苹果历史上影响最大的漏洞，因为受害者不需要任何点击，攻击者只需要向受害者的手机发送一条iMessage消息就可以完成攻击。