大工网安告[2022]043

一、情况分析

近日，发现iOS / iPadOS的零day漏洞CVE-2022-42827，iOS 和 iPadOS 内核中存在的越界写入问题，允许恶意应用程序以内核权限执行任意代码，可能导致数据损坏、崩溃或执行未经授权的代码。苹果知晓有报告称此问题可能已被积极利用。

二、影响范围

iPhone 8 及更高版本；iPad Pro（所有型号）；iPad Air 第三代及以后版本；iPad 第五代及以后版本；iPad mini 第五代及更高版本

三、处置建议

CVE-2022-42827 漏洞已通过改进 iOS 16.1 和 iPadOS 16 中的边界检查得到修复，请用户尽快更新。

此外，iOS 16.1 和 iPadOS 16 还修复了另外 19 个 CVE编号的安全漏洞，包括蓝牙组件中的一个漏洞（CVE-2022-32946），该漏洞可能允许应用程序使用一对连接的 AirPods 录制音频，以及许多其他代码执行漏洞。