關于Apple操作系統越界寫入漏洞和Apple WebKit越界寫入漏洞的安全公告

安全公告編號:CNTA-2022-0021

2022年8月21日，國家信息安全漏洞共享平臺（CNVD）收錄了Apple操作系統越界寫入漏洞（CNVD-2022-58457，對應CVE-2022-32894）和Apple WebKit越界寫入漏洞（CNVD-2022-58458，對應CVE-2022-32893）。目前蘋果公司已發布更新版本修復上述漏洞，CNVD建議受影響用戶及時升級到最新版本。

一、漏洞情況分析

iOS是由蘋果公司開發的移動操作系統，iPadOS是蘋果公司基于IOS開發的移動端操作系統，Mac OS是蘋果開發的運行于Macintosh系列的操作系統，WebKit是Safari和其他在iOS和iPadOS上瀏覽器的引擎。

2022年8月17日，蘋果公司緊急發布iOS 15.6.1、iPadOS 15.6.1與macOS Monterey 12.5.1的安全更新，修復了Apple操作系統越界寫入漏洞和Apple WebKit越界寫入漏洞。由于iOS15和Monterey macOS邊界檢查不完全導致存在越界寫入缺陷，攻擊者可利用該漏洞進行提權操作，以內核權限實現任意代碼執行。由于WebKit邊界檢查不完全導致存在越界寫入缺陷，攻擊者可利用該漏洞誘騙用戶訪問包含惡意代碼的網站，從而實現任意代碼執行。

CNVD對上述漏洞的綜合評級為“高危”。

二、漏洞影響范圍

漏洞影響的產品版本包括：

運行iOS 15的設備版本<15.6.1

運行iPadOS 15的設備版本<15.6.1

運行macOS

Monterey的設備版本<12.5.1

Apple Safari瀏覽器版本<15.6.1

以下是受影響的設備：

運行 macOS

Monterey 的 Mac 設備

iPhone 6s 及后續推出的機型

iPad Pro 所有機型

iPad Air 2 及后續推出的機型

第五代 iPad 及后續機型

iPad mini 4 及后續機型

iPod Touch 第七代

三、漏洞處置建議

目前，蘋果公司已發布更新版本修復上述漏洞，CNVD建議受影響用戶立即升級至最新版本：

https://support.apple.com/zh-cn/HT201222

附參考鏈接：

https://support.apple.com/zh-cn/HT201222