除了今天针对 iphone、ipad、mac、apple watch 等设备的 apple 软件更新外,还修复了各种安全问题。ios 15.3专门修补了 10 个值得注意的安全漏洞,从 safari网络浏览泄漏到可以赋予恶意应用 root 权限的漏洞等等。
我们知道web 浏览和 google 帐户 id 漏洞在 ios 15.3 和 macos 12.2 的 rc 版本到来时已被提前修补但是,apple 现在已经详细列出了安全补丁的完整列表,其中显示了针对 ios 15.3、watchos 的文档8.4 及更多。
macos 12.2 可能包含相同的修复程序,但 apple 尚未为此发布安全更新。
除了 safari 网页浏览漏洞之外,还修补了其他安全问题,包括应用程序获得 root 权限、使用内核权限执行任意代码的能力、通过 icloud 错误访问用户文件等等。
颜色同步
适用于:iphone 及更新机型、ipad pro(所有型号)、ipad air 2 及更新机型、ipad 第 5 代及更新机型、ipad mini 4 及更新机型和 ipod touch(第 7 代)
影响:处理恶意制作的文件可能会导致任意代码执行
描述:已通过改进验证解决内存损坏问题。
cve-2022-22584:趋势科技的 mickey jin (@patch1t)
崩溃记者
适用于:iphone 6s 及更新机型、ipad pro(所有型号)、ipad air 2 及更新机型、ipad 第 5 代及更新机型、ipad mini 4 及更新机型和 ipod touch(第 7 代)
影响:恶意应用程序或许能够获得 root 权限
描述:已通过改进验证解决逻辑问题。
cve-2022-22578:匿名研究员
icloud
适用于:iphone 6s 及更新机型、ipad pro(所有型号)、ipad air 2 及更新机型、ipad 第 5 代及更新机型、ipad mini 4 及更新机型和 ipod touch(第 7 代)
影响:应用程序或许能够访问用户的文件
描述:符号链接的路径验证逻辑中存在问题。此问题已通过改进路径清理得到解决。
cve- 2022-22585 :腾讯安全玄武实验室( https://xlab.tencent.com )的霍志鹏(@ r3df09)
iomobileframebuffer
适用于:iphone 6s 及更新机型、ipad pro(所有型号)、ipad air 2 及更新机型、ipad 第 5 代及更新机型、ipad mini 4 及更新机型和 ipod touch(第 7 代)
影响:恶意应用程序或许能够以内核权限执行任意代码。apple 知道有报告称此问题可能已被积极利用。
描述:已通过改进输入验证解决内存损坏问题。
cve-2022-22587:匿名研究员,mbition 的 meysam firouzi (@r00tkitsmm) – 梅赛德斯-奔驰创新实验室,siddharth aeri (@b1n4r1b01)
核心
适用于:iphone 6s 及更新机型、ipad pro(所有型号)、ipad air 2 及更新机型、ipad 第 5 代及更新机型、ipad mini 4 及更新机型和 ipod touch(第 7 代)
影响:恶意应用程序或许能够以内核权限执行任意代码
描述:已通过改进内存处理解决缓冲区溢出问题。
cve-2022-22593:star labs 的 peter nguyễn vũ hoàng
模型输入/输出
适用于:iphone 6s 及更新机型、ipad pro(所有型号)、ipad air 2 及更新机型、ipad 第 5 代及更新机型、ipad mini 4 及更新机型和 ipod touch(第 7 代)
影响:处理恶意制作的 stl 文件可能会导致应用程序意外终止或任意代码执行
描述:已通过改进状态管理解决信息泄露问题。
cve-2022-22579:趋势科技的 mickey jin (@patch1t)
网络套件
适用于:iphone 6s 及更新机型、ipad pro(所有型号)、ipad air 2 及更新机型、ipad 第 5 代及更新机型、ipad mini 4 及更新机型和 ipod touch(第 7 代)
影响:处理恶意制作的邮件可能会导致运行任意 javascript
描述:已通过改进输入清理解决验证问题。
cve- 2022-22589:knownsec 404 团队 ( knownsec.com )的heige和 palo alto networks (paloaltonetworks.com)的bo qu
网络套件
适用于:iphone 6s 及更新机型、ipad pro(所有型号)、ipad air 2 及更新机型、ipad 第 5 代及更新机型、ipad mini 4 及更新机型和 ipod touch(第 7 代)
影响:处理恶意制作的 web 内容可能会导致任意代码执行
描述:已通过改进内存管理解决释放后使用问题。
cve- 2022-22590 :来自海洋安全团队 orca ( security.sea.com )的toan pham
网络套件
适用于:iphone 6s 及更新机型、ipad pro(所有型号)、ipad air 2 及更新机型、ipad 第 5 代及更新机型、ipad mini 4 及更新机型和 ipod touch(第 7 代)
影响:处理恶意制作的 web 内容可能会阻止执行内容安全策略
描述:已通过改进状态管理解决逻辑问题。
cve-2022-22592:prakash (@1lastbr3ath)
webkit 存储
适用于:iphone 6s 及更新机型、ipad pro(所有型号)、ipad air 2 及更新机型、ipad 第 5 代及更新机型、ipad mini 4 及更新机型和 ipod touch(第 7 代)
影响:网站或许能够追踪敏感的用户信息
描述:indexdb api 中的一个跨域问题已通过改进输入验证得到解决。
cve-2022-22594:fingerprintjs 的 martin bajanik
原创文章,作者:校长,如若转载,请注明出处:https://www.yundongfang.com/yun122090.html
微信扫一扫不于多少! 
支付宝扫一扫礼轻情意重 