Apple 周四发布了 iOS 和 iPadOS 15.7.1，其中包含针对 iPhone 和 iPad 的多项性能增强和安全更新。 iOS 15.7.1 更新是在 Apple 周一发布 iOS 和 iPadOS 16.1 之后发布的。在几位 Beta 测试人员报告 Face ID 存在问题后，苹果公司可能推迟了更新的发布。

如果您运行的是版本 15 并且推迟更新到 iOS 16，我们建议您安装 15.7.1 更新。根据发行说明，该更新有 18 个补丁，其中包括 0day 缺陷可能已被积极利用的内核。以下是安全更新的完整列表：

苹果神经引擎

适用于：iPhone 6s 及更新机型、iPad Pro（所有型号）、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch（第 7 代）

影响：应用可能能够使用内核权限执行任意代码

描述：该问题已通过改进内存处理得到解决。

CVE-2022-32932：Mohamed Ghannam (@_simo36)

音频

适用于：iPhone 6s 及更新机型、iPad Pro（所有型号）、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch（第 7 代）

影响：解析恶意制作的音频文件可能会导致用户信息泄露

描述：该问题已通过改进内存处理得到解决。

CVE-2022-42798：匿名者与趋势科技零日计划合作

备份

适用于：iPhone 6s 及更新机型、iPad Pro（所有型号）、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch（第 7 代）

影响：应用或许能够访问 iOS 备份

描述：权限问题已通过附加限制得到解决。

CVE-2022-32929：进攻性安全的 Csaba Fitzl (@theevilbit)

FaceTime

适用于：iPhone 6s 及更新机型、iPad Pro（所有型号）、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch（第 7 代）

影响：用户或许能够从锁定屏幕查看受限内容

描述：通过改进状态管理解决了锁定屏幕问题。

CVE-2022-32935：Bistrit Dahal

图形驱动程序

适用于：iPhone 6s 及更新机型、iPad Pro（所有型号）、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch（第 7 代）

影响：应用可能能够使用内核权限执行任意代码

描述：该问题已通过改进边界检查得到解决。

CVE-2022-32939：德克萨斯大学奥斯汀分校的 Willy R. Vasquez

图像处理

适用于：iPhone 6s 及更新机型、iPad Pro（所有型号）、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch（第 7 代）

影响：应用可能能够使用内核权限执行任意代码

描述：此问题已通过改进检查得到解决。

CVE-2022-32949：清华大学的 Tingting Yin

内核

适用于：iPhone 6s 及更新机型、iPad Pro（所有型号）、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch（第 7 代）

影响：应用可能能够使用内核权限执行任意代码

描述：内存损坏问题已通过改进状态管理得到解决。

CVE-2022-32944：Moveworks.ai 的 Tim Michaud (@TimGMichaud)

内核

适用于：iPhone 6s 及更新机型、iPad Pro（所有型号）、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch（第 7 代）

影响：应用可能能够使用内核权限执行任意代码

描述：通过改进锁定解决了竞争条件。

CVE-2022-42803：盘古实验室的 Xinru Chi，John Aakerblom (@jaakerblom)

内核

适用于：iPhone 6s 及更新机型、iPad Pro（所有型号）、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch（第 7 代）

影响：具有 root 权限的应用可能能够使用内核权限执行任意代码

描述：该问题已通过改进边界检查得到解决。

CVE-2022-32926：Moveworks.ai 的 Tim Michaud (@TimGMichaud)

内核

适用于：iPhone 6s 及更新机型、iPad Pro（所有型号）、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch（第 7 代）

影响：应用程序可能能够使用内核权限执行任意代码。 Apple 已获悉有报告称此问题可能已被积极利用。

描述：越界写入问题已通过改进边界检查得到解决。

CVE-2022-42827：匿名研究人员

内核

适用于：iPhone 6s 及更新机型、iPad Pro（所有型号）、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch（第 7 代）

影响：应用可能能够使用内核权限执行任意代码

描述：已通过改进检查解决逻辑问题。

CVE-2022-42801：Google 零号项目的 Ian Beer

模型 I/O

适用于：iPhone 6s 及更新机型、iPad Pro（所有型号）、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch（第 7 代）

影响：处理恶意制作的 USD 文件可能会泄露内存内容

描述：该问题已通过改进内存处理得到解决。

CVE-2022-42810：蚂蚁安全光年实验室的 Xingwei Lin (@xwlin_roy) 和 Yinyi Wu

ppp

适用于：iPhone 6s 及更新机型、iPad Pro（所有型号）、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch（第 7 代）

影响：缓冲区溢出可能导致任意代码执行

描述：该问题已通过改进边界检查得到解决。

CVE-2022-32941：匿名研究人员

Safari

适用于：iPhone 6s 及更新机型、iPad Pro（所有型号）、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch（第 7 代）

影响：访问恶意制作的网站可能会泄露敏感数据

描述：已通过改进状态管理解决逻辑问题。

CVE-2022-42817：Mir Masood Ali，伊利诺伊大学芝加哥分校博士生； Binoy Chitale，石溪大学硕士生； Mohammad Ghasemisharif，伊利诺伊大学芝加哥分校博士生； Chris Kanich，伊利诺伊大学芝加哥分校副教授

WebKit

适用于：iPhone 6s 及更新机型、iPad Pro（所有型号）、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch（第 7 代）

影响：处理恶意制作的网页内容可能会泄露应用的内部状态

描述：JIT 中的正确性问题已通过改进检查得到解决。

WebKit Bugzilla：242964
CVE-2022-32923：KAIST 黑客实验室的 Wonyoung Jung (@nonetype_pwn)

无线网络

适用于：iPhone 6s 及更新机型、iPad Pro（所有型号）、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch（第 7 代）

影响：加入恶意 Wi-Fi 网络可能会导致”设置”应用拒绝服务

描述：该问题已通过改进内存处理得到解决。

CVE-2022-32927：日本东北大学的 Hideaki Goto 博士

zlib

适用于：iPhone 6s 及更新机型、iPad Pro（所有型号）、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch（第 7 代）

影响：用户可能会导致应用程序意外终止或任意代码执行

描述：此问题已通过改进检查得到解决。

CVE-2022-37434：叶夫根尼·莱格罗夫

CVE-2022-42800：叶夫根尼·莱格罗夫

要安装更新，请打开”设置”应用，然后点击”常规”，然后点击”软件更新”，您的设备将在线查找更新。一旦出现，点击”下载并安装”即可开始更新，这将需要几分钟的时间。您的设备需要重新启动。

赞微海报分享