iPhone 6、7或iPhone SE等用户请注意,苹果本周针对旧款iPhone、iPad设备发布安全更新,以修补浏览器引擎WebKit的一个高风险零时差漏洞。
苹果发布的iOS 15.7.4和iPadOS 15.7.4是针对iPhone 6s、7、iPhone SE、iPad Air 2、iPad mini 4及iPod touch 7发布。它和iOS 16.4及iPadOS 16.4同时发布,后者提供给较新的iPhone 8以后、iPad Pro、iPad Air 3以后、iPad 5以后及iPad mini 5版本。
两者多项安全更新相同,但iOS/iPadOS 15.7.4还修补了一个零时差漏洞CVE-2023-23529。它是一个形态混淆(type confusion)漏洞,影响Safari浏览器引擎WebKit,攻击者可设立恶意网页,再以社交工程或其他方式诱使用户访问。一旦用户设备处理了该网页内容,即可能引发任意程序代码攻击。本项漏洞风险值达8.8。
苹果在上个月得知该漏洞已遭到滥用,已发布macOS Ventura 13.2.1、iOS 16.3.1和iPadOS 16.3.1及Safari 16.3,以修补较新的iPhone、iPad及Mac计算机。
苹果本周也发布macOS Ventura 13.3、iOS/iPadOS/tvOS 16.4及watchOS 9.4。其中iOS/iPadOS 16.4则修补30多项漏洞。较重要的漏洞包括Calendar的CVE-2023-27961,能导入恶意行程表邀请消息,造成不慎点入的用户资讯外泄。Find My的CVE-2023-23537可让恶意App读取用户所在位置资讯。WebKit漏洞CVE-2023-27954,让恶意网站得以关注敏感的用户资讯。
CVE-2023-23541影响iPhone的辅助功能(Accessibility),可让恶意App访问用户联系人资讯。
CVE-2023-27969及CVE-2023-27933属于OS核心的使用已释放内存(use after free)漏洞,可让恶意App以核心权限执行任意程序代码。CVE-2023-23535及CVE-2023-27979则可让黑客发送恶意图片,用户读取后触发行程内存泄漏。
苹果并修补了AI芯片神经网络引擎(Apple Neural Engine)多项漏洞,包括2个能使恶意App以核心权限执行任意程序代码的漏洞CVE-2023-23540、CVE-2023-27959、恶意程序代码越界写入(out-of-bounds write)漏洞CVE-2023-27970,以及恶意App突破沙箱执行的漏洞CVE-2023-23532。