快更新iOS 16.3.1、macOS 13.2.1 蘋果修補三大零時差漏洞

蘋果在昨日（14）釋出 iOS 16.3.1、iPadOS 16.3.1、tvOS 16.3.2 和 macOS 13.2.1 更新，同時還修補三大系統安全漏洞，蘋果也警告當前 WebKit 漏洞已經被駭客濫用中，呼籲 iPhone、iPad 和 Mac 用戶都要盡快升級到最新版本，避免遭受零時差漏洞攻擊。

就算 iOS 16.3.1 和 iPadOS 16.3.1 最主要是修正 iCloud 自動備份無回應、Siri 尋找錯誤，同時也針對 iPhone 14 車禍偵測最佳化外，另外也修補3個系統漏洞，蘋果也發出安全警訊，已經接獲匿名研究人員通報，有駭客開始利用零日漏洞進行實際攻擊，也讓蘋果不得不進快推出更新修補。

從蘋果發布安全更新頁面顯示，在 iOS 16.3.1 修補漏洞共有3項，其中編號 CVE-2023-23529 漏洞，被發現在 iOS、iPadOS 與 macOS 內建 WebKit 中，WebKit 是指系統內建 Safari 瀏覽器引擎，駭客可利用 WebKit 網頁內容檢查不足造成型態混淆（type confusion）瑕疵，當用戶透過 Safari 開啟惡意網頁時，就能造成系統漏洞遭攻擊，導致攻擊者能夠取得設備最高執行權限。

這項重大 WebKit 零時差漏洞主要影響設備包含，iPhone 8 及更新機型、iPad Pro（所有機型）、iPad Air 第三代及更新機型、iPad 第五代及更新機型、iPad mini 第五代及更新機型。

另外編號 CVE-2023-23514 安全漏洞是由知名盤古實驗室及Google Project Zero安全研究員共同通報，主要攻擊者能利用已釋放記憶體漏洞（use after free），導致惡意應用程式能夠掌握系統核心執行權限，設備受影響嚴重程度與 WebKit 漏洞差不多。

最後 macOS Ventura 也額外多出修補 CVE-2023-23522 漏洞，是由阿里巴巴集團安全研究人員發現，漏洞主要存在 macOS 捷徑內，惡意程式能夠直接讀取未加防護用戶資料。

蘋果也在安全修正頁面感謝多倫多大學蒙克學院的公民實驗室協助，僅管 iOS 16.3.1 、 iPadOS 16.3.1 沒有加入新功能，主要是修正功能錯誤和優化「車禍偵測」，目前 WebKit 漏洞已經遭到駭客使用，蘋果也呼籲用戶將作業系統更新到最新版本。

• 【iOS 16.3.1災情】iPhone 更新耗電、發燙/閃退等錯誤回報專區
• iOS 16.3.1 更新了什麼？四項重大錯誤修正與功能優化