安全公告編號(hào):CNTA-2022-0021

2022年8月21日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄了Apple操作系統(tǒng)越界寫入漏洞（CNVD-2022-58457，對(duì)應(yīng)CVE-2022-32894）和Apple WebKit越界寫入漏洞（CNVD-2022-58458，對(duì)應(yīng)CVE-2022-32893）。目前蘋果公司已發(fā)布更新版本修復(fù)上述漏洞，CNVD建議受影響用戶及時(shí)升級(jí)到最新版本。

一、漏洞情況分析

iOS是由蘋果公司開發(fā)的移動(dòng)操作系統(tǒng)，iPadOS是蘋果公司基于IOS開發(fā)的移動(dòng)端操作系統(tǒng)，Mac OS是蘋果開發(fā)的運(yùn)行于Macintosh系列的操作系統(tǒng)，WebKit是Safari和其他在iOS和iPadOS上瀏覽器的引擎。

2022年8月17日，蘋果公司緊急發(fā)布iOS 15.6.1、iPadOS 15.6.1與macOS Monterey 12.5.1的安全更新，修復(fù)了Apple操作系統(tǒng)越界寫入漏洞和Apple WebKit越界寫入漏洞。由于iOS15和Monterey macOS邊界檢查不完全導(dǎo)致存在越界寫入缺陷，攻擊者可利用該漏洞進(jìn)行提權(quán)操作，以內(nèi)核權(quán)限實(shí)現(xiàn)任意代碼執(zhí)行。由于WebKit邊界檢查不完全導(dǎo)致存在越界寫入缺陷，攻擊者可利用該漏洞誘騙用戶訪問包含惡意代碼的網(wǎng)站，從而實(shí)現(xiàn)任意代碼執(zhí)行。

CNVD對(duì)上述漏洞的綜合評(píng)級(jí)為“高?！薄?/p>

二、漏洞影響范圍

漏洞影響的產(chǎn)品版本包括：

運(yùn)行iOS 15的設(shè)備版本<15.6.1

運(yùn)行iPadOS 15的設(shè)備版本<15.6.1

運(yùn)行macOS Monterey的設(shè)備版本<12.5.1

Apple Safari瀏覽器版本<15.6.1

以下是受影響的設(shè)備：

運(yùn)行 macOS Monterey 的 Mac 設(shè)備

iPhone 6s 及后續(xù)推出的機(jī)型

iPad Pro 所有機(jī)型

iPad Air 2 及后續(xù)推出的機(jī)型

第五代 iPad 及后續(xù)機(jī)型

iPad mini 4 及后續(xù)機(jī)型

iPod Touch 第七代

三、漏洞處置建議

目前，蘋果公司已發(fā)布更新版本修復(fù)上述漏洞，CNVD建議受影響用戶立即升級(jí)至最新版本。

文章來源：國(guó)家信息安全漏洞共享平臺(tái)