2022-09-14 02:03:08
来 源
中存储
网络安全
该漏洞(编号为 CVE-2022-32917)可能允许恶意制作的应用程序以内核权限执行任意代码。

中存储消息,近日苹果周一为其 macOS 和 iOS 平台中已经被利用的零日漏洞推出了紧急补丁。

Apple在关于完全修补的 iPhone、iPad 和 macOS 设备中的代码执行缺陷的咨询警告中证实了该漏洞的广泛利用。

该漏洞(编号为 CVE-2022-32917)可能允许恶意制作的应用程序以内核权限执行任意代码。这个漏洞是由一位匿名研究人员报告的。“苹果知道有报道称这个问题可能已被积极利用, ”该公司表示。

Apple 警告 iOS、macOS 上出现新的 0-Day CVE-2022-32917 漏洞

受影响的设备包括:

  • iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型和 iPod touch(第 7 代
  • 和运行 macOS Big Sur 11.7 和 macOS Monterey 12.6 的 Mac

通过使用特制应用程序,攻击者可以利用 CVE-2022-32917 漏洞以内核权限执行任意代码。

除了这个错误之外,Apple 还修复了这些安全更新中的许多缺陷。以下是一些严重的缺陷:

  • CVE-2022-32886:缓冲区溢出问题已通过改进内存处理得到解决。
  • CVE-2022-32868:通过改进状态管理解决了一个逻辑问题
  • CVE-2022-32912:通过改进的边界检查解决了越界读取

苹果还表示,建议尚未升级且受漏洞影响的苹果用户尽快完成升级。

还建议用户通过转到 设置 > 常规 > 软件更新 > 启用自动更新来启用自动软件更新。

iOS 15.7 和 iPadOS 15.7

联系人

适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型和 iPod touch(第 7 代)

影响:应用程序或许能够绕过隐私偏好

描述:此问题已通过改进检查得到解决。

CVE-2022-32854:德国电信安全公司的 Holger Fuhrmannek

核心

适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型和 iPod touch(第 7 代)

影响:应用程序或许能够以内核权限执行任意代码

描述:已通过改进内存处理解决问题。

CVE-2022-32911:昆仑实验室的 Zweig

核心

适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型和 iPod touch(第 7 代)

影响:应用程序或许能够泄露内核内存

描述:已通过改进内存处理解决问题。

CVE-2022-32864:Pinauten GmbH (pinauten.de) 的 Linus Henze

核心

适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型和 iPod touch(第 7 代)

影响:应用程序或许能够以内核权限执行任意代码。Apple 知道有报告称此问题可能已被积极利用。

描述:已通过改进边界检查解决问题。

CVE-2022-32917:匿名研究员

地图

适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型和 iPod touch(第 7 代)

影响:应用程序或许能够读取敏感的位置信息

描述:已通过改进限制解决逻辑问题。

CVE-2022-32883:Ron Masas,breakpointhq.com

媒体库

适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型和 iPod touch(第 7 代)

影响:用户或许能够提升权限

描述:已通过改进输入验证解决内存损坏问题。

CVE-2022-32908:匿名研究员

苹果浏览器

适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型和 iPod touch(第 7 代)

影响:访问恶意网站可能会导致地址栏欺骗

描述:此问题已通过改进检查得到解决。

CVE-2022-32795:Suma Soft Pvt 的 Narendra Bhati。浦那有限公司(印度)@imnarendrabhati

Safari 扩展

适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型和 iPod touch(第 7 代)

影响:网站或许能够通过 Safari 网络扩展来跟踪用户

描述:已通过改进状态管理解决逻辑问题。

WebKit Bugzilla:242278
CVE-2022-32868:迈克尔

捷径

适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型和 iPod touch(第 7 代)

影响:对 iOS 设备有物理访问权限的人或许能够从锁定屏幕访问照片

描述:已通过改进限制解决逻辑问题。

CVE-2022-32872:精英技术大师

网络套件

适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型和 iPod touch(第 7 代)

影响:处理恶意制作的 Web 内容可能会导致任意代码执行

描述:已通过改进内存处理解决缓冲区溢出问题。

WebKit Bugzilla:241969
CVE-2022-32886:P1umer、afang5472、xmzyshypnc

网络套件

适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型和 iPod touch(第 7 代)

影响:处理恶意制作的 Web 内容可能会导致任意代码执行

描述:已通过改进的边界检查解决了越界读取问题。

WebKit Bugzilla:242762
CVE-2022-32912:Theori 的 Jeonghoon Shin (@singi21a) 与趋势科技零日倡议合作

声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。