中存储消息,近日苹果周一为其 macOS 和 iOS 平台中已经被利用的零日漏洞推出了紧急补丁。
Apple在关于完全修补的 iPhone、iPad 和 macOS 设备中的代码执行缺陷的咨询警告中证实了该漏洞的广泛利用。
该漏洞(编号为 CVE-2022-32917)可能允许恶意制作的应用程序以内核权限执行任意代码。这个漏洞是由一位匿名研究人员报告的。“苹果知道有报道称这个问题可能已被积极利用, ”该公司表示。
受影响的设备包括:
- iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型和 iPod touch(第 7 代
- 和运行 macOS Big Sur 11.7 和 macOS Monterey 12.6 的 Mac
通过使用特制应用程序,攻击者可以利用 CVE-2022-32917 漏洞以内核权限执行任意代码。
除了这个错误之外,Apple 还修复了这些安全更新中的许多缺陷。以下是一些严重的缺陷:
- CVE-2022-32886:缓冲区溢出问题已通过改进内存处理得到解决。
- CVE-2022-32868:通过改进状态管理解决了一个逻辑问题
- CVE-2022-32912:通过改进的边界检查解决了越界读取
苹果还表示,建议尚未升级且受漏洞影响的苹果用户尽快完成升级。
还建议用户通过转到 设置 > 常规 > 软件更新 > 启用自动更新来启用自动软件更新。
iOS 15.7 和 iPadOS 15.7
联系人
适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型和 iPod touch(第 7 代)
影响:应用程序或许能够绕过隐私偏好
描述:此问题已通过改进检查得到解决。
CVE-2022-32854:德国电信安全公司的 Holger Fuhrmannek
核心
适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型和 iPod touch(第 7 代)
影响:应用程序或许能够以内核权限执行任意代码
描述:已通过改进内存处理解决问题。
CVE-2022-32911:昆仑实验室的 Zweig
核心
适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型和 iPod touch(第 7 代)
影响:应用程序或许能够泄露内核内存
描述:已通过改进内存处理解决问题。
CVE-2022-32864:Pinauten GmbH (pinauten.de) 的 Linus Henze
核心
适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型和 iPod touch(第 7 代)
影响:应用程序或许能够以内核权限执行任意代码。Apple 知道有报告称此问题可能已被积极利用。
描述:已通过改进边界检查解决问题。
CVE-2022-32917:匿名研究员
地图
适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型和 iPod touch(第 7 代)
影响:应用程序或许能够读取敏感的位置信息
描述:已通过改进限制解决逻辑问题。
CVE-2022-32883:Ron Masas,breakpointhq.com
媒体库
适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型和 iPod touch(第 7 代)
影响:用户或许能够提升权限
描述:已通过改进输入验证解决内存损坏问题。
CVE-2022-32908:匿名研究员
苹果浏览器
适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型和 iPod touch(第 7 代)
影响:访问恶意网站可能会导致地址栏欺骗
描述:此问题已通过改进检查得到解决。
CVE-2022-32795:Suma Soft Pvt 的 Narendra Bhati。浦那有限公司(印度)@imnarendrabhati
Safari 扩展
适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型和 iPod touch(第 7 代)
影响:网站或许能够通过 Safari 网络扩展来跟踪用户
描述:已通过改进状态管理解决逻辑问题。
WebKit Bugzilla:242278
CVE-2022-32868:迈克尔
捷径
适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型和 iPod touch(第 7 代)
影响:对 iOS 设备有物理访问权限的人或许能够从锁定屏幕访问照片
描述:已通过改进限制解决逻辑问题。
CVE-2022-32872:精英技术大师
网络套件
适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型和 iPod touch(第 7 代)
影响:处理恶意制作的 Web 内容可能会导致任意代码执行
描述:已通过改进内存处理解决缓冲区溢出问题。
WebKit Bugzilla:241969
CVE-2022-32886:P1umer、afang5472、xmzyshypnc
网络套件
适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型和 iPod touch(第 7 代)
影响:处理恶意制作的 Web 内容可能会导致任意代码执行
描述:已通过改进的边界检查解决了越界读取问题。
WebKit Bugzilla:242762
CVE-2022-32912:Theori 的 Jeonghoon Shin (@singi21a) 与趋势科技零日倡议合作