苹果上周五紧急释出iOS及iPadOS 16.4.1,以及macOS Ventura 13.3.1更新,以修补两个已经遭滥用的零时差漏洞。
根据苹果的安全公告,这次修补的漏洞分别为CVE-2023-28205及CVE-2023-28206。 CVE-2023-28206位于iOSurfaceAccelerator的越界写入(out-of-bounds write)漏洞,可能让恶意应用程序以核心权限执行任意代码。
CVE-2023-28205则位于WebKit,为一使用已释放内存(use after free)漏洞。 攻击者可设立恶意网页,引导iOS设备用户存取,致使恶意程式码在装置上执行。
两个漏洞都是由Google威胁分析小组及Amnesty International安全实验室研究人员Donncha Ó Cearbhaill发现及通报。 更重要的是,苹果警告,两个漏洞都已遭人滥用。
苹果并未公布漏洞风险,但安全厂商Tenable判定两者皆属于重大风险漏洞。
受到2漏洞影响的产品包括iPhone 8以上、iPad Pro(所有机型)、iPad Air 3以上、iPad 5以上、iPad mini 5以上产品,以及macOS 13 Ventura。 旧版iOS、iPad及macOS产品则尚没有更新版软件可用。
