資安警報！蘋果修補iOS 16.4.1 和macOS 13.3.1 遭駭客利用漏洞

蘋果（Apple）今日除了針對 iPhone 釋出 iOS 16.4.1 更新，另外也替 Mac 系統推出 macOS 13.3.1 更新，新版主要是解決 Siri 無法用、推手表情符號膚色錯誤和 Mac 設備無法透過 Apple Watch 解鎖問題。

蘋果還為 macOS 13.3.1 和 iOS 16.4.1修補了兩個重大的安全漏洞，儘管這是小型的更新版本，但蘋果資安報告強調iOS 16.4.1和macOS 13.3.1的漏洞已被黑客利用，建議用戶盡快更新到最新版本。

根據 Apple 的安全更新資料顯示，iOS 16、iPadOS 16 和 macOS 13 目前都存在 IOSurfaceAccelerator 和 WebKit 的安全漏洞。其中 IOSurfaceAccelerator（IOSurface 加速器）漏洞能讓駭客製作惡意應用程式，從而取得內核最高管理者權限。

在 WebKit 漏洞方面，只要用戶透過瀏覽器進入惡意網頁，也會導致能夠執行任意代碼。蘋果官方表示，在接獲兩個漏洞時，已知該漏洞正積極被駭客使用中。因此，蘋果建議所有使用者立即升級到 iOS 16.4.1 與 macOS 13.3.1 版本，以解決此類問題。

iOS 16.4.1 、macOS 13.3.1 安全漏洞更新細節

以下是 iOS 16.4.1 、iPadOS 16.4.1 和 macOS 13.3.1 安全漏洞修補細節

IOSurfaceAccelerator

• 適用：iPhone 8 及新款機型、iPad Pro（所有機型）、iPad Air 第三代及新款機型、iPad 第五代及新款機型、iPad mini 第五代及新款機型
• 漏洞影響：應用程序能夠取得內核權限，並執行任意代碼（Apple 獲悉一份報告稱此問題可能已被積極利用）
• 解決方法：越界寫入問題已通過改進輸入驗證得到解決。

CVE-2023-28206 漏洞報告來源：Google 威脅分析小組的 Clément Lecigne 和國際特赦組織安全實驗室的 Donncha Ó Cearbhaill。

WebKit

• 適用：適用：iPhone 8 及新款機型、iPad Pro（所有機型）、iPad Air 第三代及新款機型、iPad 第五代及新款機型、iPad mini 第五代及新款機型
• 漏洞影響：惡意製作網頁內容可能會導致任意代碼執行。（Apple 獲悉一份報告稱此問題可能已被積極利用）
• 解決方法：已通過改進內存管理解決釋放後使用問題。

CVE-2023-28205漏洞報告來源：Google 威脅分析小組的 Clément Lecigne 和國際特赦組織安全實驗室的 Donncha Ó Cearbhaill 。

相關文章：

• iOS 16.4.1 更新了什麼？修復Siri 錯誤、表情符號等安全更新
• macOS Ventura 13.3.1 更新釋出，修復2 大錯誤及安全漏洞