蘋果(Apple)今日除了針對 iPhone 釋出 iOS 16.4.1 更新,另外也替 Mac 系統推出 macOS 13.3.1 更新,新版主要是解決 Siri 無法用、推手表情符號膚色錯誤和 Mac 設備無法透過 Apple Watch 解鎖問題。
蘋果還為 macOS 13.3.1 和 iOS 16.4.1修補了兩個重大的安全漏洞,儘管這是小型的更新版本,但蘋果資安報告強調iOS 16.4.1和macOS 13.3.1的漏洞已被黑客利用,建議用戶盡快更新到最新版本。
根據 Apple 的安全更新資料顯示,iOS 16、iPadOS 16 和 macOS 13 目前都存在 IOSurfaceAccelerator 和 WebKit 的安全漏洞。其中 IOSurfaceAccelerator(IOSurface 加速器)漏洞能讓駭客製作惡意應用程式,從而取得內核最高管理者權限。
在 WebKit 漏洞方面,只要用戶透過瀏覽器進入惡意網頁,也會導致能夠執行任意代碼。蘋果官方表示,在接獲兩個漏洞時,已知該漏洞正積極被駭客使用中。因此,蘋果建議所有使用者立即升級到 iOS 16.4.1 與 macOS 13.3.1 版本,以解決此類問題。
iOS 16.4.1 、macOS 13.3.1 安全漏洞更新細節
以下是 iOS 16.4.1 、iPadOS 16.4.1 和 macOS 13.3.1 安全漏洞修補細節
IOSurfaceAccelerator
- 適用:iPhone 8 及新款機型、iPad Pro(所有機型)、iPad Air 第三代及新款機型、iPad 第五代及新款機型、iPad mini 第五代及新款機型
- 漏洞影響:應用程序能夠取得內核權限,並執行任意代碼(Apple 獲悉一份報告稱此問題可能已被積極利用)
- 解決方法:越界寫入問題已通過改進輸入驗證得到解決。
CVE-2023-28206 漏洞報告來源:Google 威脅分析小組的 Clément Lecigne 和國際特赦組織安全實驗室的 Donncha Ó Cearbhaill。
WebKit
- 適用:適用:iPhone 8 及新款機型、iPad Pro(所有機型)、iPad Air 第三代及新款機型、iPad 第五代及新款機型、iPad mini 第五代及新款機型
- 漏洞影響:惡意製作網頁內容可能會導致任意代碼執行。(Apple 獲悉一份報告稱此問題可能已被積極利用)
- 解決方法:已通過改進內存管理解決釋放後使用問題。
CVE-2023-28205漏洞報告來源:Google 威脅分析小組的 Clément Lecigne 和國際特赦組織安全實驗室的 Donncha Ó Cearbhaill 。
相關文章:
喜歡這篇文章教學,後續想了解更多Apple資訊、iPhone、Mac、3C隱藏技巧,歡迎追蹤 瘋先生FB粉絲團、瘋先生LINE@、訂閱瘋先生Google新聞、Telegram、Instagram以及 訂閱YouTube頻道,將會有更多非常實用的技巧教學分享給大家。