吳明宜昨日 (10/4) 蘋果釋出 iOS 17.0.3 及 iPadOS 17.0.3,解決部份 iPhone 過熱的問題,而且,這個版本還修補了 2 個零時差漏洞。
iPhone 15 Pro 及 15 Max 上周傳出過熱,用戶說,手機燙到沒有外殼根本拿不住,蘋果回應,承認部份原因在 iOS 17 的臭蟲。但該公司也說像 Uber 、 Instagram 或一些手遊 App 也會導致手機升溫。蘋果承諾會和這些 App 開發商合作解決這些問題。 iOS 17.0.3 則可解決 iOS 17 臭蟲引發的問題。
但這次更新也意在解決 2 個零時差漏洞。其中一個是 CVE-2023-5217,出在開原碼 libvpx 影片編碼函式庫中的 VP8 編碼元件。這個漏洞可讓攻擊者在裝置上執行任意程式碼。 Google 威脅分析小組及 Project Zero 二名研究員發現本項漏洞已經有國家支持的攻擊活動,在受害者手機內安裝間諜軟體。
Libvpx 漏洞影響很多軟體,包括 Chrome 、微軟 Edge/Team/Skype 、 Firefox/Thunderbird 。
另一零時差漏洞為 CVE-2023-42824,出在 XNU 核心,可讓本地攻擊者提升在 iPhone 或 iPad 的權限。蘋果說,已接獲通報本漏洞正發生濫用,以攻擊 iOS 16.6 以前版本的情形。不過蘋果未說明漏洞通報者為誰。
受 CVE-2023-42824 影響的產品包括 iPhone XS 以上、以及第 2 代 iPad Pro 12.9 吋版、 iPad Pro 10.5 吋版、第 1 代 iPad Pro 11 吋版、 第 3 代 iPad Air 、第 6 代 iPad 及第 5 代 iPad mini 以上。
CVE-2023-42824 也是蘋果修補的第 17 個零時差漏洞。