警惕！Apple发布多个漏洞！涉及权限提升和远程代码执行！

漏洞描述

近日，亚信安全CERT监测到Apple发布安全通告，修复了多个安全漏洞，包括Apple Kernel权限提升漏洞（CVE-2022-32894）和Apple WebKit代码执行漏洞（CVE-2022-32893）。Apple Kernel存在本地权限提升漏洞，漏洞源于IOS15和Monterey macOS边界检查不完全导致存在越界写入缺陷，成功利用该漏洞可以将本地用户权限提升至内核权限，并以内核权限执行任意代码。Apple Webkit存在任意代码执行漏洞，漏洞源于WebKit边界检查不完全而导致存在越界写入缺陷，Webkit在处理恶意制作的Web内容可能会导致任意代码执行。

iOS是由苹果公司开发的移动操作系统，iPadOS是苹果公司基于IOS开发的移动端操作系统，Mac OS是苹果开发的运行于Macintosh系列的操作系统。Apple Webki是浏览器引擎，被使用在Safari, Mail, App Store，iOS 和linux。

漏洞编号及评分

• Apple Kernel权限提升漏洞（CVE-2022-32894） CVSS V3：7.8
• Apple WebKit代码执行漏洞（CVE-2022-32893）CVSS V3：8.8

漏洞状态

受影响的版本

• iOS < 15.6.1
• iPadOS < 15.6.1
• macOS Monterey < 12.5.1

修复建议

目前官方已发布安全版本以修复此安全问题，建议用户更新至最新版本iOS 15.6.1、iPadOS 15.6.1、macOS Monterey 12.5.1以缓解潜在威胁。