Apple在iOS 12.2中修复了一些非常严重的错误。

这也提出了一个问题，即Apple是否应该将其安全补丁计划与主要媒体事件联系起来。这不是“Patch Tuesday”，而是“Patch Keynote”。- Alex Stamos2019年3月25日在推特上表示。

最令人不安的漏洞之一是ReplayKit API漏洞（CVE-2019-8566），它允许恶意应用程序在未经用户授权或意识的情况下访问iPhone，iPad或iPod touch上的麦克风。

“在处理麦克风数据时存在API问题，”Apple在其安全更新中解释道。“通过改进验证解决了这个问题。”

苹果修复了一个与主题相关的FaceTime缺陷，这个缺陷使得一个不法分子强迫FaceTime接收者的电话接听电话，将苹果套件变成可能被窃听的管道。这个问题上个月得到解决。

相关问题影响WebKit（CVE-2019-6222），它是移动Safari的核心，允许网站潜在地访问iOS设备麦克风而不显示任何指示。单独的Safari错误（CVE-2019-8554）允许网站在未经同意的情况下访问设备传感器信息。

Digita Security的首席研究官兼Objective-See的创始人，安全研究员Patrick Wardle 表示，除了可以用来监视人们的Replay Kit漏洞外，还有一个值得注意的地理服务漏洞（CVE-2019）。 -8553）允许远程代码执行。

据Apple称，该漏洞可用于构建触发任意远程代码的恶意SMS链接。

“这些是先进的（民族国家）对手用来远程感染目标的漏洞类型，”沃德尔说道，他认为苹果的iOS平台规则不允许安全工具阻止或至少检测到这种攻击。

12.2更新还修复了远程攻击者可能用来使系统崩溃或内核内存损坏的iOS内核错误（CVE-2019-8527）。

同时，WebKit收到了多个绷带，以防止恶意制作的网页内容弄乱内存，以实现任意代码执行：CVE-2019-8536，CVE-2019-8544，CVE-2019-7285，CVE-2019-8556和CVE- 2019-8506。

“对我来说，最重要的是iOS永远都是一个可以破解的设备，”沃德尔说：“的确，它虽然很安全，但与任何计算系统的情况一样，它是可以攻击的。”

macOS Mojave 10.14.4也看到了它的bug补丁 - 有38个CVE。存在一些重大缺陷：AppleGraphicsControl kext遭受缓冲区溢出错误（CVE-2019-8555），该错误可能允许恶意应用程序以内核权限执行任意代码。此外，磁盘仲裁框架还存在一个逻辑问题（CVE-2019-8522），该问题允许在不提示的情况下卸载和重新安装加密卷。

桌面操作系统也与iOS共享一些错误。反馈助手允许恶意应用程序覆盖任意文件（CVE-2019-8521）。同时，XPC Services API允许覆盖文件（CVE-2019-8530）。iOS和macOS上的Siri都有一个漏洞，允许恶意应用程序在没有用户授权的情况下发起听写请求。并且macOS受到与iOS相同的内核错误（CVE-2019-8527）。