安全公告编号:CNTA-2022-0021
2022年8月21日,国家信息安全漏洞共享平台(CNVD)收录了Apple操作系统越界写入漏洞(CNVD-2022-58457,对应CVE-2022-32894)和AppleWebKit越界写入漏洞(CNVD-2022-58458,对应CVE-2022-32893)。目前苹果公司已发布更新版本修复上述漏洞,CNVD建议受影响用户及时升级到最新版本。
一、漏洞情况分析
iOS是由苹果公司开发的移动操作系统,iPadOS是苹果公司基于IOS开发的移动端操作系统,MacOS是苹果开发的运行于Macintosh系列的操作系统,WebKit是Safari和其他在iOS和iPadOS上浏览器的引擎。
2022年8月17日,苹果公司紧急发布iOS15.6.1、iPadOS15.6.1与macOSMonterey12.5.1的安全更新,修复了Apple操作系统越界写入漏洞和AppleWebKit越界写入漏洞。由于iOS15和MontereymacOS边界检查不完全导致存在越界写入缺陷,攻击者可利用该漏洞进行提权操作,以内核权限实现任意代码执行。由于WebKit边界检查不完全导致存在越界写入缺陷,攻击者可利用该漏洞诱骗用户访问包含恶意代码的网站,从而实现任意代码执行。
CNVD对上述漏洞的综合评级为“高危”。
二、漏洞影响范围
漏洞影响的产品版本包括:
运行iOS15的设备版本<15.6.1
运行iPadOS15的设备版本<15.6.1
运行macOSMonterey的设备版本<12.5.1
AppleSafari浏览器版本<15.6.1
以下是受影响的设备:
运行macOSMonterey的Mac设备
iPhone6s及后续推出的机型
iPadPro所有机型
iPadAir2及后续推出的机型
第五代iPad及后续机型
iPadmini4及后续机型
iPodTouch第七代
三、漏洞处置建议
目前,苹果公司已发布更新版本修复上述漏洞,CNVD建议受影响用户立即升级至最新版本。