据称 苹果本周一更新了其macOS和iOS平台上的已利用的零日漏洞以提供紧急补丁。

Apple确认了一个严重的安全问题，已知的许多iPhone、iPad和macOS设备都已被发现使用这个错误代码执行缺陷。

此漏洞(编号CVE-2022-32917)可以允许恶意软件在其被病毒感染的应用中执行任何代码。这项漏洞是匿名安全研究员报告的，苹果称：“我们了解到有报道说这个问题可能是积极利用的”。

这些受影响的设备包含了：

iPhone 6s 及更新机型、iPad Pro（所有型号）、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型和 iPod touch（第 7 代和运行 macOS Big Sur 11.7 和 macOS Monterey 12.6 的 Mac

通过特定的工具应用，入侵者可借助 CVE-2022-32917 问题运行内核级别指令。

除了纠正安全更新中存在的某些瑕疵以外，苹果还解决了几个严重的漏洞。以下是其中一些严重的漏洞：

CVE-2022-32886: 缓冲区溢出问题已得到修正。此漏洞利用内存处理进行修改。CVE-2022-32868：我们已经通过改善状态管理，解决了逻辑漏洞 CVE-2022-32912：通过改进边界检查来解决越界读取问题

苹果还提出了一些建议，即将受影响的用户及时安装更新。

还可以建议用户通过前往设置 - 通用 - 软件更新 - 打开自动更新选项，来进行自动更新的功能。

iOS 15.7和iPadOS 15.7是苹果公司最新开发的操作系统版本。

联系人

适用于：iPhone 6s 及更新机型、iPad Pro（所有型号）、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型和 iPod touch（第 7 代）

结果：软件可能以不那么透明的方式违反隐私设置

这个问题已根据改进后的问题进行了改善并获得了解决。

CVE-2022-32854：德国电信安全公司的 Holger Fuhrmannek

核心

适用于 iPhone 6s 和后续的设备，iPad Pro 的所有型号，iPad Air 2 和之后的版本，私家侦探，侦探公司，调查公司，查人找物，商务调查，出轨外遇调查，婚外情调查，私人调查，19209219596iPad 第五代以及后续更新版本。 iPad mini 4 的所有版本都适用，以及 iPod touch 的第七代产品

效果：可能让应用内部的程序具有运行任何代码的能力

已经解决相关内存问题。

CVE-2022-32911：昆仑实验室的 Zweig

"核心"

适用于：iPhone 6s 及更新机型、iPad Pro（所有型号）、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型和 iPod touch（第 7 代）

结果可能会影响到应用程序访问到系统内部的数据

已成功解决由于内存处理问题造成的阻碍。

CVE-2022-32864：Pinauten GmbH (pinauten.de) 的 Linus Henze

核心

适用于：iPhone 6s 及更新机型、iPad Pro（所有型号）、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型和 iPod touch（第 7 代）

影响：这可能导致应用程序以内核权限运行恶意代码。苹果公司知道有人声称该问题是已得到证实的滥用。

解决了：通过改善边界检查来解决问题。

CVE-2022-32917匿名研究员：

地图

适用于：iPhone 6s 及更新机型、iPad Pro（所有型号）、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型和 iPod touch（第 7 代）

影响：应用程式或许能读取敏感位置资讯

描述：已经解决了与逻辑相关的限制，使其运行更加流畅。

CVE-2022-32883：Ron Masas，breakpointhq.com

媒体库

适用于：iPhone 6s 及更新机型、iPad Pro（所有型号）、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型和 iPod touch（第 7 代）

影响：使用者可能可增强权力

改善了输入验证，从而解决了内存受损问题。

CVE-2022-32908 安全漏洞

苹果浏览器

此推广适用于所有配备 iPhone 6s 或更新型号的设备，iPad Pro 的全部型号，以及 iPad Air 2私家侦探，侦探公司，调查公司，查人找物，商务调查，出轨外遇调查，婚外情调查，私人调查，19209219596 和更早型号；iPad 第五代及其后续机型；以及 iPad mini 4 和更高版本的iPad。此外，适用于 iPod touch 第七代版本

影响包括访问恶意的网站可能会对地址栏产生不准确的信息

问题已完成改进，并通过了审核。

CVE-2022-32795：Suma Soft Pvt 的 Narendra Bhati。浦那有限公司（印度）@imnarendrabhati

Safari 扩展

此条款适用与 iPhone 6s 或更高版本的所有机型，iPad Pro (所有型号)。 iPad Air 2 及以后的机型，iPad 第五代(所有版本)和 iPad mini 4 及之后的所有更新版型；以及 iPod touch (第七代)

结果可能包括：一个网站能够在 Safari 中安装扩展程序以便追踪用户的活动

已经解决了状态管理的问题，目前的状态已进入改进状态。

WebKit Bugzilla：242278CVE-2022-32868：迈克尔

捷径

适用于：iPhone 6s 及更新机型、iPad Pro（所有型号）、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型和 iPod touch（第 7 代）

影响：对设备具有物理访问权限的人员，可能有机会通过解锁屏幕来获得照片。

改进解决逻辑问题的办法已经实施

CVE-2022-32872：精英技术大师

网络工具包

此消息适用于：所有支持苹果6s及之后的设备，例如iPhone 6s，iPad Pro以及iPod Touch，iPad Air 2及更新版本；iPad 第5代及更新型号。此外还适用于iPad mini 4及更新版型和iPad第7代机型

影响：对恶意创建的Web内容进行处理可能引发未授权代码执行漏洞。

已经解决了内存处理的漏洞，这意味着不会发生缓冲区溢出的问题了。

WebKit Bugzilla：241969CVE-2022-32886：P1umer、afang5472、xmzyshypnc

网络软件

适用于：iPhone 6s 及更新机型、iPad Pro（所有型号）、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型和 iPod touch（第 7 代）

影响：恶意内容可能引发的任意代码执行

已经解决了通过改进的边界检查导致的越界数据访问问题。

WebKit Bugzilla：242762CVE-2022-32912：Theori 的 Jeonghoon Shin (@singi21a) 与趋势科技零日倡议合作