关于 iOS 15.7.1 和 iPadOS 15.7.1 的安全性内容

本文介绍了 iOS 15.7.1 和 iPadOS 15.7.1 的安全性内容。

关于 Apple 安全性更新

为保护我们的客户，在没有进行调查并推出修补程序或发行版本之前，Apple 不会透露、讨论或确认安全性问题。“Apple 安全性更新”页面上列出了近期发布的版本。

Apple 安全性文稿会尽可能以 CVE-ID 来引用安全漏洞。

如果需要了解有关安全性的更多信息，请参阅“Apple 产品安全性”页面。

iOS 15.7.1 和 iPadOS 15.7.1

Apple Neural Engine

适用于：iPhone 6s 及更新机型、iPad Pro（所有机型）、iPad Air 2 及更新机型、iPad（第 5 代）及更新机型、iPad mini 4 及更新机型，以及 iPod touch（第 7 代）

影响：App 或许能够以内核权限执行任意代码

描述：已通过改进内存处理解决这个问题。

CVE-2022-32932：Mohamed Ghannam (@_simo36)

Audio

适用于：iPhone 6s 及更新机型、iPad Pro（所有机型）、iPad Air 2 及更新机型、iPad（第 5 代）及更新机型、iPad mini 4 及更新机型，以及 iPod touch（第 7 代）

影响：解析恶意制作的音频文件可能会导致用户信息泄露

描述：已通过改进内存处理解决这个问题。

CVE-2022-42798：匿名研究人员与 Trend Micro Zero Day Initiative 合作发现

Backup

适用于：iPhone 6s 及更新机型、iPad Pro（所有机型）、iPad Air 2 及更新机型、iPad（第 5 代）及更新机型、iPad mini 4 及更新机型，以及 iPod touch（第 7 代）

影响：App 或许能够访问 iOS 备份

描述：已通过增加限制解决权限问题。

CVE-2022-32929：Offensive Security 的 Csaba Fitzl (@theevilbit)

FaceTime

适用于：iPhone 6s 及更新机型、iPad Pro（所有机型）、iPad Air 2 及更新机型、iPad（第 5 代）及更新机型、iPad mini 4 及更新机型，以及 iPod touch（第 7 代）

影响：用户或许能够从锁定屏幕查看受限内容

描述：已通过改进状态管理解决锁定屏幕问题。

CVE-2022-32935：Bistrit Dahal

Graphics Driver

适用于：iPhone 6s 及更新机型、iPad Pro（所有机型）、iPad Air 2 及更新机型、iPad（第 5 代）及更新机型、iPad mini 4 及更新机型，以及 iPod touch（第 7 代）

影响：App 或许能够以内核权限执行任意代码

描述：已通过改进边界检查解决这个问题。

CVE-2022-32939：德克萨斯大学奥斯汀分校的 Willy R. Vasquez

Image Processing

适用于：iPhone 6s 及更新机型、iPad Pro（所有机型）、iPad Air 2 及更新机型、iPad（第 5 代）及更新机型、iPad mini 4 及更新机型，以及 iPod touch（第 7 代）

影响：App 或许能够以内核权限执行任意代码

描述：已通过改进检查解决这个问题。

CVE-2022-32949：清华大学的 Tingting Yin

Kernel

适用于：iPhone 6s 及更新机型、iPad Pro（所有机型）、iPad Air 2 及更新机型、iPad（第 5 代）及更新机型、iPad mini 4 及更新机型，以及 iPod touch（第 7 代）

影响：App 或许能够以内核权限执行任意代码

描述：已通过改进状态管理解决内存损坏问题。

CVE-2022-32944：Moveworks.ai 的 Tim Michaud (@TimGMichaud)

Kernel

适用于：iPhone 6s 及更新机型、iPad Pro（所有机型）、iPad Air 2 及更新机型、iPad（第 5 代）及更新机型、iPad mini 4 及更新机型，以及 iPod touch（第 7 代）

影响：App 或许能够以内核权限执行任意代码

描述：已通过改进锁定解决竞态条件问题。

CVE-2022-42803：盘古实验室的 Xinru Chi，John Aakerblom (@jaakerblom)

Kernel

适用于：iPhone 6s 及更新机型、iPad Pro（所有机型）、iPad Air 2 及更新机型、iPad（第 5 代）及更新机型、iPad mini 4 及更新机型，以及 iPod touch（第 7 代）

影响：具有根权限的 App 或许能够以内核权限执行任意代码

描述：已通过改进边界检查解决这个问题。

CVE-2022-32926：Moveworks.ai 的 Tim Michaud (@TimGMichaud)

Kernel

适用于：iPhone 6s 及更新机型、iPad Pro（所有机型）、iPad Air 2 及更新机型、iPad（第 5 代）及更新机型、iPad mini 4 及更新机型，以及 iPod touch（第 7 代）

影响：应用程序或许能够以内核权限执行任意代码。有报告指出，这个问题可能已经遭到频繁利用；Apple 已知晓这一报告。

描述：已通过改进边界检查解决越界写入问题。

CVE-2022-42827：一位匿名研究人员

Kernel

适用于：iPhone 6s 及更新机型、iPad Pro（所有机型）、iPad Air 2 及更新机型、iPad（第 5 代）及更新机型、iPad mini 4 及更新机型，以及 iPod touch（第 7 代）

影响：App 或许能够以内核权限执行任意代码

描述：已通过改进检查解决逻辑问题。

CVE-2022-42801：Google Project Zero 的 Ian Beer

Model I/O

适用于：iPhone 6s 及更新机型、iPad Pro（所有机型）、iPad Air 2 及更新机型、iPad（第 5 代）及更新机型、iPad mini 4 及更新机型，以及 iPod touch（第 7 代）

影响：处理恶意制作的 USD 文件可能会泄露内存内容

描述：已通过改进内存处理解决这个问题。

CVE-2022-42810：蚂蚁集团光年安全实验室的 Xingwei Lin (@xwlin_roy) 和 Yinyi Wu

ppp

适用于：iPhone 6s 及更新机型、iPad Pro（所有机型）、iPad Air 2 及更新机型、iPad（第 5 代）及更新机型、iPad mini 4 及更新机型，以及 iPod touch（第 7 代）

影响：缓冲区溢出问题可能会导致任意代码执行

描述：已通过改进边界检查解决这个问题。

CVE-2022-32941：一位匿名研究人员

Safari

适用于：iPhone 6s 及更新机型、iPad Pro（所有机型）、iPad Air 2 及更新机型、iPad（第 5 代）及更新机型、iPad mini 4 及更新机型，以及 iPod touch（第 7 代）

影响：访问恶意制作的网站可能会泄露敏感数据

描述：已通过改进状态管理解决逻辑问题。

CVE-2022-42817：伊利诺伊大学芝加哥分校博士生 Mir Masood Ali；石溪大学理学硕士生 Binoy Chitale；伊利诺伊大学芝加哥分校博士候选人 Mohammad Ghasemisharif；伊利诺伊大学芝加哥分校副教授 Chris Kanich

WebKit

适用于：iPhone 6s 及更新机型、iPad Pro（所有机型）、iPad Air 2 及更新机型、iPad（第 5 代）及更新机型、iPad mini 4 及更新机型，以及 iPod touch（第 7 代）

影响：处理恶意制作的网页内容可能会泄露 App 的内部状态

描述：已通过改进检查解决 JIT 中的正确性问题。

CVE-2022-32923：KAIST 黑客实验室的 Wonyoung Jung (@nonetype_pwn)

Wi-Fi

适用于：iPhone 6s 及更新机型、iPad Pro（所有机型）、iPad Air 2 及更新机型、iPad（第 5 代）及更新机型、iPad mini 4 及更新机型，以及 iPod touch（第 7 代）

影响：加入恶意的无线局域网可能会导致“设置”App 服务遭拒

描述：已通过改进内存处理解决这个问题。

CVE-2022-32927：日本东北大学的 Hideaki Goto 博士

zlib

适用于：iPhone 6s 及更新机型、iPad Pro（所有机型）、iPad Air 2 及更新机型、iPad（第 5 代）及更新机型、iPad mini 4 及更新机型，以及 iPod touch（第 7 代）

影响：用户或许能够导致 App 意外终止或任意代码执行

描述：已通过改进检查解决这个问题。

CVE-2022-37434：Evgeny Legerov

CVE-2022-42800：Evgeny Legerov