iOS 15.3、Safariやrootアクセスなどに影響を与える10件の主要なセキュリティ脆弱性を修正

iPhone、iPad、Mac、Apple Watch などの本日の Apple ソフトウェア アップデートに加えて、さまざまなセキュリティ問題も修正されています。 iOS 15.3 では、Safari の Web 閲覧漏洩から悪意のあるアプリに root 権限を付与する可能性のある脆弱性まで、10 件の注目すべきセキュリティ脆弱性が修正されています。

Web ブラウジングと Google アカウント ID の脆弱性は、iOS 15.3 と macOS 12.2 の RC バージョンが到着したときに事前にパッチされていたことはわかっていましたが、Apple は現在、セキュリティ パッチの完全なリストの詳細を明らかにしています。 iOS 15.3、watchOS 8.4 などのドキュメント。

macOS 12.2 にも同じ修正が含まれている可能性がありますが、Apple はまだそのセキュリティ アップデートをリリースしていません。

Safari の Web ブラウジングの脆弱性に加えて、アプリが root 権限を取得する機能、カーネル権限で任意のコードを実行する機能、iCloud 経由でのユーザー ファイルへの誤ったアクセスなど、他のセキュリティ問題も修正されました。もっと。

---

カラー同期

適用対象: iPhone 6s 以降のモデル、iPad Pro (すべてのモデル)、iPad Air 2 以降のモデル、iPad 3rd 5th Generation iPad mini 4 以降、および iPod touch (第 7 世代)

影響: 悪意を持って作成されたファイルを処理すると、任意のコードが実行される可能性があります

説明: 改善された機能により、メモリ破損の問題はすでに解決されています。検証。

CVE-2022-22584: トレンドマイクロの Mickey Jin (@patch1t)

Crash Reporter

適用対象: iPhone 6s 以降、iPad Pro (全モデル)、iPad Air 2 以降、iPad 第 5 世代以降、iPad mini 4 以降、および iPod touch (第 7 世代)

影響: 悪意のあるアプリケーションプログラムが root 権限を取得できる可能性があります。

説明: 検証の改善により、ロジックの問題が解決されました。

CVE-2022-22578: 匿名の研究者

iCloud

適用対象: iPhone 6s 以降、iPad Pro (すべてのモデル)、iPad Air 2 以降、iPad 第 5 世代以降、iPad mini 4 以降、および iPod touch (第 7 世代)

#影響: アプリケーションがユーザーのファイルにアクセスできる可能性があります

説明:シンボリック リンクのパス検証ロジックに問題が存在します。この問題は、パスのクリーニングを改善することで解決されました。

CVE-2022-22585: Tencent Security Xuanwu Lab (https://xlab.tencent.com) の Huo Zhipeng (@ R3dF09)

IOMobileFrameBuffer

適用対象: iPhone 6s 以降、iPad Pro (すべてのモデル)、iPad Air 2 以降、iPad 第 5 世代以降、iPad mini 4 以降、および iPod touch (第 7 世代)

影響：悪意のあるアプリケーションは、カーネル権限を使用して任意のコードを実行できる可能性があります。 Apple は、この問題が積極的に悪用されている可能性があるという報告を認識しています。

説明: 入力検証を改善することで、メモリ破損の問題が解決されました。

CVE-2022-22587: MBition – Mercedes-Benz Innovation Labs の匿名研究者、Meysam Firouzi (@R00tkitSMM)、Siddharth Aeri (@b1n4r1b01)

Core

適用対象: iPhone 6s 以降、iPad Pro (すべてのモデル)、iPad Air 2 以降、iPad 第 5 世代以降、iPad mini 4 以降、iPod touch (第 7 世代)

影響: 悪意のあるアプリケーションがカーネル権限で任意のコードを実行できる可能性があります。

説明: バッファ オーバーフローの問題は、メモリ処理の改善により解決されました。

CVE-2022-22593: STAR Labs の Peter Nguyễn Vũ Hoàng

モデル入力/出力

適用対象: iPhone 6s 以降、iPad Pro (全モデル)、iPad Air 2 以降、iPad 第 5 世代以降、iPad mini 4 以降、iPod touch (第 7 世代)

影響: 悪意のある細工された STL ファイルに対処すると、アプリケーションが予期せず終了する可能性があります。または任意のコードの実行

説明: 状態管理の改善により、情報漏洩の問題が解決されました。

CVE-2022-22579: Mickey Jin (@patch1t) by Trend Micro

Network Suite

適用対象: iPhone 6s 以降、iPad Pro (全モデル)、iPad Air 2 以降、iPad 第 5 世代以降、iPad mini 4 以降、iPod touch (第 7 世代)

影響: 悪意のある細工されたメールに対処すると、任意の JavaScript が実行される可能性があります。

説明: 入力のサニタイズを改善することで、検証の問題が解決されました。

CVE-2022-22589: KnownSec 404 チーム (knownsec.com) の Heige とパロ アルト ネットワーク (paloaltonetworks.com) の Bo Qu

#Network Suite

適用対象: iPhone 6s 以降、iPad Pro (すべてのモデル)、iPad Air 2 以降、iPad 第 5 世代以降、iPad mini 4 以降、iPod touch (第 7 世代)

影響: 悪意を持って作成された Web コンテンツを処理すると、任意のコードが実行される可能性があります

##説明: 解放後の使用の問題は、メモリ管理の改善により解決されました。

CVE-2022-22590: Ocean Security Team Orca (security.sea.com) の Toan Pham 氏 (security.sea.com)

Network Suite

適用対象: iPhone 6s 以降、iPad Pro (すべてのモデル)、iPad Air 2 以降、iPad 第 5 世代以降、iPad mini 4 以降、および iPod touch (第 7 世代)

影響: 悪意を持って作成された Web コンテンツを処理すると、コンテンツ セキュリティ ポリシーの適用が妨げられる可能性があります。

説明: 状態管理の改善により、ロジックの問題が解決されました。

CVE-2022-22592: Prakash (@1lastBr3ath)

WebKit Storage

適用対象: iPhone 6s 以降、iPad Pro (すべてのモデル) )、iPad Air 2 以降、iPad 第 5 世代以降、iPad mini 4 以降、および iPod touch (第 7 世代)

影響: Web サイトで機密のユーザー情報を追跡できる可能性があります

説明: IndexDB API のクロスドメインの問題は、入力検証の改善により解決されました。

CVE-2022-22594: FingerprintJS の Martin Bajanik

以上がiOS 15.3、Safariやrootアクセスなどに影響を与える10件の主要なセキュリティ脆弱性を修正の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。