Apple iOS和iPadOS任意代码执行漏洞安全风险通告

iOS 、iPadOS系统是美国苹果（Apple）公司所研发的移动操作系统，为Apple公司多款产品提供相关功能。
近日，监测到Apple iOS 和 iPadOS存在任意代码执行漏洞(CVE-2022-42827)，允许恶意程序以内核权限执行代码。目前，此漏洞已发现在野利用，鉴于此漏洞影响范围极大，建议客户尽快做好自查，及时更新至最新版本。

漏洞名称	Apple iOS和iPadOS任意代码执行漏洞
公开时间	2022-10-24	更新时间	2022-10-26
CVE编号	CVE-2022-42827	其他编号	CNNVD-202210-1651 QVD-2022-42414
威胁类型	代码执行	技术类型	越界写入
厂商	Apple	产品	iOS、iPadOS
风险等级
风险评级		风险等级
高危		蓝色（一般事件）
现时威胁状态
POC状态	EXP状态	在野利用状态	技术细节状态
未发现	未发现	已发现	未公开
漏洞描述	Apple iOS和iPadOS系统内核存在越界写入问题，该问题可允许恶意程序以内核权限执行任意代码
影响版本	Apple iOS < 16.1 Apple iPadOS < 16
其他受影响组件	Apple iPhone >= 8 Apple iPad Pro Apple iPad Air >= 3 Apple iPad >= 5 Apple iPad mini >= 5

威胁评估

漏洞名称	Apple iOS和iPadOS任意代码执行漏洞
CVE编号	CVE-2022-42827	其他编号		CNNVD-202210-1651 QVD-2022-42414
CVSS 3.1评级	高危	CVSS 3.1分数		7.8
CVSS向量	访问途径（AV）		攻击复杂度（AC）
	本地		低
	所需权限（PR）		用户交互（UI）
	低权限		不需要
	影响范围（S）		机密性影响（C）
	不改变		高
	完整性影响（I）		可用性影响（A）
	高		高
危害描述	由于Apple iOS和iPadOS系统内核边界检查不当，会导致越界写入问题，该问题可允许恶意程序以内核权限执行任意代码

处置建议

目前苹果官方已发布安全版本修复该漏洞，建议受影响用户尽快更新至对应的安全版本。

https://support.apple.com/en-us/HT213489

参考资料

[1]https://www.cisa.gov/known-exploited-vulnerabilities-catalog

[2]https://www.helpnetsecurity.com/2022/10/25/cve-2022-42827/

[3]https://support.apple.com/en-us/HT213489

[4]http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202210-1651

动者恒动

谢谢楼主分享

热心网友4

多谢提醒，这个漏洞确实很严重，而且已经在野利用了。刚查了下手里的设备还在受影响版本，赶紧去升级到16.1和16以上。大家也尽快检查更新吧，安全第一。