Apple iOS和iPadOS任意代码执行漏洞安全风险通告
iOS 、iPadOS系统是美国苹果(Apple)公司所研发的移动操作系统,为Apple公司多款产品提供相关功能。近日,监测到Apple iOS 和 iPadOS存在任意代码执行漏洞(CVE-2022-42827),允许恶意程序以内核权限执行代码。目前,此漏洞已发现在野利用,鉴于此漏洞影响范围极大,建议客户尽快做好自查,及时更新至最新版本。
漏洞名称
Apple iOS和iPadOS任意代码执行漏洞
公开时间
2022-10-24
更新时间
2022-10-26
CVE编号
CVE-2022-42827
其他编号
CNNVD-202210-1651
QVD-2022-42414
威胁类型
代码执行
技术类型
越界写入
厂商
Apple
产品
iOS、iPadOS
风险等级
风险评级
风险等级
高危
蓝色(一般事件)
现时威胁状态
POC状态
EXP状态
在野利用状态
技术细节状态
未发现
未发现
已发现
未公开
漏洞描述
Apple iOS和iPadOS系统内核存在越界写入问题,该问题可允许恶意程序以内核权限执行任意代码
影响版本
Apple iOS < 16.1
Apple iPadOS < 16
其他受影响组件
Apple iPhone >= 8
Apple iPad Pro
Apple iPad Air >= 3
Apple iPad >= 5
Apple iPad mini >= 5
威胁评估
漏洞名称
Apple iOS和iPadOS任意代码执行漏洞
CVE编号
CVE-2022-42827
其他编号
CNNVD-202210-1651
QVD-2022-42414
CVSS 3.1评级
高危
CVSS 3.1分数
7.8
CVSS向量
访问途径(AV)
攻击复杂度(AC)
本地
低
所需权限(PR)
用户交互(UI)
低权限
不需要
影响范围(S)
机密性影响(C)
不改变
高
完整性影响(I)
可用性影响(A)
高
高
危害描述
由于Apple iOS和iPadOS系统内核边界检查不当,会导致越界写入问题,该问题可允许恶意程序以内核权限执行任意代码
处置建议
目前苹果官方已发布安全版本修复该漏洞,建议受影响用户尽快更新至对应的安全版本。
https://support.apple.com/en-us/HT213489
参考资料
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
https://www.helpnetsecurity.com/2022/10/25/cve-2022-42827/
https://support.apple.com/en-us/HT213489
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202210-1651
谢谢楼主分享
Re: Apple iOS和iPadOS任意代码执行漏洞安全风险通告
多谢提醒,这个漏洞确实很严重,而且已经在野利用了。刚查了下手里的设备还在受影响版本,赶紧去升级到16.1和16以上。大家也尽快检查更新吧,安全第一。Re: Apple iOS和iPadOS任意代码执行漏洞安全风险通告
感谢分享这个重要的安全通告。CVE-2022-42827 已经在野利用,确实需要重视。建议手头有 iPhone 8 及以上机型、iPad Pro、iPad Air 3 及以上、iPad 5 及以上、iPad mini 5 及以上的用户,尽快检查系统版本,升级到 iOS 16.1 或 iPadOS 16 以上。如果设备无法升级到最新大版本,也留意下是否有安全更新推送。另外,链接里苹果官方支持页面和 CISA 的已利用漏洞目录也可以参考一下,方便做进一步排查。Re: Apple iOS和iPadOS任意代码执行漏洞安全风险通告
感谢分享这个重要的安全通告。CVE-2022-42827 已经确认存在在野利用,且影响设备范围很广(iPhone 8 及以上、多款 iPad),高危评级确实不容忽视。建议还在运行 iOS 16.1 以下或 iPadOS 16 以下版本的用户,尽快通过“设置-通用-软件更新”升级到最新的安全版本。在更新前也要注意避免点击可疑链接或安装来源不明的描述文件,减少被攻击的风险。
页:
[1]