蘋果系統更新日！macOS Ventura、iOS 16.1 修補上百項漏洞

蘋果本周一釋出 macOS Ventura 13 及 iOS 16.1，除了新功能外，更重要的是還修補了上百項漏洞，包括 1 個 iOS 零時差漏洞。

macOS 13 Ventura 修補高達 112 項漏洞，包括 OS 本身的漏洞，以及影響第三方元件。這些漏洞可能導致任意程式碼執行、資訊洩露、阻斷服務（DoS）攻擊、檔案系統修改、安全機制繞過以及權限升級等。其中許多需要目標裝置上安裝惡意 App，而有些則需要攻擊者實際能存取裝置，或是執行惡意檔案。

蘋果周一同時也釋出 macOS Big Sur 11.7.1 及 Monterey 12.6.1 更新，修補了 3 項 Ventura 也修補的漏洞。意即安裝 Ventura 的話就可以滿足一切修補工作。

此外，蘋果也釋出了 iOS 16.1，修補了至少 20 項漏洞，包括已經遭到攻擊的核心漏洞。蘋果證實網路上已經有針對 CVE-2022-42827 的「積極」活動，應用程式可能利用核心權限，在 iPhone 及 iPad 用戶執行任意程式碼。
CVE-2022-42827 是越界寫入 (out-of-bounds write) 漏洞，是由匿名研究人員通報。iOS 16.1 已經透過強化界限檢查解決這項漏洞。

不過一如以往，蘋果並未公佈攻擊行動細節，或提供攻擊指標 (indicator of compromise, IOC)，或是其他資料可供用戶辨別是否遭受感染。

到目前為止，蘋果 iOS 裝置已經出現至少 8 個零時差漏洞，令該公司安全回應團隊疲於修補漏洞。

iOS 16.1 另外還修補了至少另外 4 個可能導致惡意程式碼執行的漏洞，包括影響 CFNetwork 的 CVE-2022-42813 、影響 iOS 核心的 CVE-2022-42808、影響 WebKit 的 CVE-2022-42823 及影響 WebKit PDF 的 CVE-2022-32922。

此外，iOS 16.1 也修補了位於 AppleMobileFileIntegrity、 AVEVideoEncoder、 Core Bluetooth、 GPU 驅動程式、 IOHIDFamily、 Sandbox 及 Shortcuts 元件的漏洞。

來源：SecurityWeek