吳明宜蘋果本周釋出 iOS 及 iPadOS 更新,解決 1 個舊裝置上的零時差漏洞。
本周釋出的 iOS/iPadOS 15.7.4 修補了 10 多項漏洞,其中包括 WebKit 上的型態混淆漏洞 CVE-2023-23529 。蘋果說已經接獲該漏洞遭到利用的通報。
CVE-2023-23529 可讓駭客設立惡意網頁,再誘使受害者點選 URL 瀏覽以觸發該漏洞,導致 iOS/iPadOS 當掉,或是在 iPhone 、 iPad 上執行任意程式碼。漏洞風險值達 8.8,屬於高風險。
蘋果已在 2 月釋出 macOS Ventura 13.2.1 、 iOS 16.3.1 和 iPadOS 16.3.1 及 Safari 16.3 修補較新的 Mac 電腦、 iPhone 及 iPad 上的漏洞。
本月修補的產品包括 iPhone 6S 系列、 7 系列、 SE 、 iPad Air 2 、 iPad mini(第 4 代)及 iPod Touch(第 7 代)。
除了零時差漏洞,蘋果本周也釋出 macOS Ventura 13.3 、 iOS/iPadOS/tvOS 16.4 及 watchOS 9.4 。其中 iOS/iPadOS 16.4 修補 30 多項漏洞。包括行事曆上的 CVE-2023-27961,能匯入惡意行事曆邀請,造成用戶資訊外洩。 Find My 的 CVE-2023-23537 讓惡意 App 得以讀取用戶所在地點資訊。 WebKit 漏洞 CVE-2023-27954,讓惡意網站得以追蹤敏感的用戶資訊。相機程式上的 CVE-2023-23543 漏洞可讓沙箱中的 App 能判讀到哪個 App 正在使用相機。
此外,蘋果並修補了 AI 晶片神經網路引擎 (Apple Neural Engine) 多項漏洞,包括 2 個能使惡意 App 以核心權限執行任意程式碼的漏洞 CVE-2023-23540 、 CVE-2023-27959 、惡意程式碼越界寫入 (out-of-bounds write) 漏洞 CVE-2023-27970,以及惡意 App 突破沙箱執行的漏洞 CVE-2023-23532 。
來源:SecurityAffairs 、 Apple