苹果终于发布了带有关键安全补丁的 iOS 15.7.1
Apple 周四发布了 iOS 和 iPadOS 15.7.1,其中包含针对 iPhone 和 iPad 的多项性能增强和安全更新。 iOS 15.7.1 更新是在 Apple 周一发布 iOS 和 iPadOS 16.1 之后发布的。在几位 Beta 测试人员报告 Face ID 存在问题后,苹果公司可能推迟了更新的发布。
如果您运行的是版本 15 并且推迟更新到 iOS 16,我们建议您安装 15.7.1 更新。根据发行说明,该更新有 18 个补丁,其中包括 0day 缺陷可能已被积极利用的内核。以下是安全更新的完整列表:
苹果神经引擎
适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch(第 7 代)
影响:应用可能能够使用内核权限执行任意代码
描述:该问题已通过改进内存处理得到解决。
CVE-2022-32932:Mohamed Ghannam (@_simo36)
音频
适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch(第 7 代)
影响:解析恶意制作的音频文件可能会导致用户信息泄露
描述:该问题已通过改进内存处理得到解决。
CVE-2022-42798:匿名者与趋势科技零日计划合作
备份
适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch(第 7 代)
影响:应用或许能够访问 iOS 备份
描述:权限问题已通过附加限制得到解决。
CVE-2022-32929:进攻性安全的 Csaba Fitzl (@theevilbit)
FaceTime
适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch(第 7 代)
影响:用户或许能够从锁定屏幕查看受限内容
描述:通过改进状态管理解决了锁定屏幕问题。
CVE-2022-32935:Bistrit Dahal
图形驱动程序
适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch(第 7 代)
影响:应用可能能够使用内核权限执行任意代码
描述:该问题已通过改进边界检查得到解决。
CVE-2022-32939:德克萨斯大学奥斯汀分校的 Willy R. Vasquez
图像处理
适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch(第 7 代)
影响:应用可能能够使用内核权限执行任意代码
描述:此问题已通过改进检查得到解决。
CVE-2022-32949:清华大学的 Tingting Yin
内核
适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch(第 7 代)
影响:应用可能能够使用内核权限执行任意代码
描述:内存损坏问题已通过改进状态管理得到解决。
CVE-2022-32944:Moveworks.ai 的 Tim Michaud (@TimGMichaud)
内核
适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch(第 7 代)
影响:应用可能能够使用内核权限执行任意代码
描述:通过改进锁定解决了竞争条件。
CVE-2022-42803:盘古实验室的 Xinru Chi,John Aakerblom (@jaakerblom)
内核
适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch(第 7 代)
影响:具有 root 权限的应用可能能够使用内核权限执行任意代码
描述:该问题已通过改进边界检查得到解决。
CVE-2022-32926:Moveworks.ai 的 Tim Michaud (@TimGMichaud)
内核
适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch(第 7 代)
影响:应用程序可能能够使用内核权限执行任意代码。 Apple 已获悉有报告称此问题可能已被积极利用。
描述:越界写入问题已通过改进边界检查得到解决。
CVE-2022-42827:匿名研究人员
内核
适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch(第 7 代)
影响:应用可能能够使用内核权限执行任意代码
描述:已通过改进检查解决逻辑问题。
CVE-2022-42801:Google 零号项目的 Ian Beer
模型 I/O
适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch(第 7 代)
影响:处理恶意制作的 USD 文件可能会泄露内存内容
描述:该问题已通过改进内存处理得到解决。
CVE-2022-42810:蚂蚁安全光年实验室的 Xingwei Lin (@xwlin_roy) 和 Yinyi Wu
ppp
适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch(第 7 代)
影响:缓冲区溢出可能导致任意代码执行
描述:该问题已通过改进边界检查得到解决。
CVE-2022-32941:匿名研究人员
Safari
适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch(第 7 代)
影响:访问恶意制作的网站可能会泄露敏感数据
描述:已通过改进状态管理解决逻辑问题。
CVE-2022-42817:Mir Masood Ali,伊利诺伊大学芝加哥分校博士生; Binoy Chitale,石溪大学硕士生; Mohammad Ghasemisharif,伊利诺伊大学芝加哥分校博士生; Chris Kanich,伊利诺伊大学芝加哥分校副教授
WebKit
适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch(第 7 代)
影响:处理恶意制作的网页内容可能会泄露应用的内部状态
描述:JIT 中的正确性问题已通过改进检查得到解决。
WebKit Bugzilla:242964
CVE-2022-32923:KAIST 黑客实验室的 Wonyoung Jung (@nonetype_pwn)无线网络
适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch(第 7 代)
影响:加入恶意 Wi-Fi 网络可能会导致”设置”应用拒绝服务
描述:该问题已通过改进内存处理得到解决。
CVE-2022-32927:日本东北大学的 Hideaki Goto 博士
zlib
适用于:iPhone 6s 及更新机型、iPad Pro(所有型号)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch(第 7 代)
影响:用户可能会导致应用程序意外终止或任意代码执行
描述:此问题已通过改进检查得到解决。
CVE-2022-37434:叶夫根尼·莱格罗夫
CVE-2022-42800:叶夫根尼·莱格罗夫
要安装更新,请打开”设置”应用,然后点击”常规”,然后点击”软件更新”,您的设备将在线查找更新。一旦出现,点击”下载并安装”即可开始更新,这将需要几分钟的时间。您的设备需要重新启动。