除了今天針對 iPhone、iPad、Mac、Apple Watch 等裝置的 Apple 軟體更新外,還修復了各種安全性問題。 iOS 15.3專門修補了 10 個值得注意的安全漏洞,從 Safari網路瀏覽洩漏到可以賦予惡意應用 root 權限的漏洞等等。
我們知道Web 瀏覽和Google 帳戶ID 漏洞在iOS 15.3 和macOS 12.2 的RC 版本到來時已被提前修補但是,Apple 現在已經詳細列出了安全補丁的完整列表,其中顯示了針對iOS 15.3、watchOS 的文件8.4 及更多。
macOS 12.2 可能包含相同的修復程序,但 Apple 尚未為此發布安全性更新。
除了 Safari 網頁瀏覽漏洞之外,還修補了其他安全性問題,包括應用程式獲得 root 權限、使用核心權限執行任意程式碼的能力、透過 iCloud 錯誤存取使用者檔案等等。
顏色同步
適用於:iPhone 6s 及更新機型、iPad Pro(所有型號)、iPad Air 2 及更新機型、iPad 第5 代及更新機型、iPad mini 4 及更新機型及iPod touch(第7 代)
影響:處理惡意製作的檔案可能會導致任意程式碼執行
說明:已透過改進驗證解決記憶體損壞問題。
CVE-2022-22584:趨勢科技的Mickey Jin (@patch1t)
崩潰記者
適用於:iPhone 6s 及更新機型、iPad Pro(所有型號)、iPad Air 2 及更新機型、iPad 第5 代及更新機型、iPad mini 4 及更新機型及iPod touch(第7 代)
影響:惡意應用程式或許能夠取得root 權限
描述:已透過改進驗證解決邏輯問題。
CVE-2022-22578:匿名研究員
iCloud
適用於:iPhone 6s 及更新機型、iPad Pro(所有型號)、 iPad Air 2 及更新機型、iPad 第5 代及更新機型、iPad mini 4 及更新機型和iPod touch(第7 代)
影響:應用程式或許能夠存取用戶的檔案
描述:符號連結的路徑驗證邏輯中存在問題。此問題已透過改進路徑清理得到解決。
CVE- 2022-22585 :騰訊安全玄武實驗室( https://xlab.tencent.com )的霍志鵬(@ R3dF09)
IOMobileFrameBuffer
##適用於:iPhone 6s 及更新機型、iPad Pro(所有型號)、iPad Air 2 及更新機型、iPad 第5 代及更新機型、iPad mini 4 及更新機型及iPod touch(第7代)影響:惡意應用程式或許能夠以核心權限執行任意程式碼。 Apple 知道有報告指出此問題可能已被積極利用。
描述:已透過改進輸入驗證解決記憶體損壞問題。
CVE-2022-22587:匿名研究員,MBition 的Meysam Firouzi (@R00tkitSMM) – 梅賽德斯-奔馳創新實驗室,Siddharth Aeri (@b1n4r1b01)
##核心核心
適用於:iPhone 6s 及更新機型、iPad Pro(所有型號)、iPad Air 2 及更新機型、iPad 第5 代及更新機型、iPad mini 4 及更新機型和iPod touch(第7 代)影響:惡意應用程式或許能夠以內核權限執行任意程式碼
描述:已透過改進記憶體處理解決緩衝區溢位問題。 ######CVE-2022-22593:STAR Labs 的Peter Nguyễn Vũ Hoàng########模型輸入/輸出##########適用於:iPhone 6s 及更新機型、iPad Pro(所有型號)、iPad Air 2 及更新機型、iPad 第5 代及更新機型、iPad mini 4 及更新機型和iPod touch(第7 代)######影響:處理惡意製作的STL 檔案可能會導致應用程式意外終止或任意程式碼執行######描述:已透過改進狀態管理解決資訊外洩問題。 ######CVE-2022-22579:趨勢科技的Mickey Jin (@patch1t)#########網路套件########適用於:iPhone 6s 及更新機型、iPad Pro(所有型號)、iPad Air 2 及更新機型、iPad 第5 代及更新機型、iPad mini 4 及更新機型和iPod touch(第7 代)######影響:處理惡意製作的郵件可能會導致執行任意javascript######描述:已透過改進輸入清理解決驗證問題。 ######CVE- 2022-22589:KnownSec 404 團隊( knownsec.com )的Heige和Palo Alto Networks (paloaltonetworks.com)的Bo Qu#########網絡套件##### ####適用於:iPhone 6s 及更新機型、iPad Pro(所有型號)、iPad Air 2 及更新機型、iPad 第5 代及更新機型、iPad mini 4 及更新機型和iPod touch(第7 代)######影響:處理惡意製作的Web 內容可能會導致任意程式碼執行#######描述:已透過改進記憶體管理解決釋放後使用問題。 ######CVE- 2022-22590 :來自海洋安全團隊 Orca ( security.sea.com )的Toan Pham#########網路套件######適用於:iPhone 6s 及更新機型、iPad Pro(所有型號)、iPad Air 2 及更新機型、iPad 第5 代及更新機型、iPad mini 4 及更新機型及iPod touch(第7代)
影響:處理惡意製作的Web 內容可能會阻止執行內容安全性原則
#描述:已透過改進狀態管理解決邏輯問題。
CVE-2022-22592:Prakash (@1lastBr3ath)
WebKit 儲存
適用於:iPhone 6s 及更新機型、iPad Pro(所有型號)、iPad Air 2 及更新機型、iPad 第5 代及更新機型、iPad mini 4 及更新機型和iPod touch(第7 代)
影響:網站或許能夠追蹤敏感的使用者資訊
描述:IndexDB API 中的一個跨域問題已透過改進輸入驗證來解決。
CVE-2022-22594:FingerprintJS 的 Martin Bajanik
以上是iOS 15.3 修補了 10 個影響 Safari、root 權限等的主要安全漏洞的詳細內容。更多資訊請關注PHP中文網其他相關文章!