继上周强化较新的产品软件安全性后,本周苹果再释出操作系统更新,以修补旧款iPhone、iPad及Mac电脑上的2个零时差漏洞。
上周五苹果释出iOS及iPadOS 16.4.1,以及macOS Ventura 13.3.1更新,解决2个已经遭到滥用的重大漏洞。 其中CVE-2023-28205位于WebKit,为一使用已释放内存(use after free)漏洞。 攻击者可设立恶意网页引诱用户存取,使恶意程式码在受用户设备上执行。 CVE-2023-28206则是影响iOSurfaceAccelerator的越界写入漏洞,可导致恶意应用程序以核心权限,在受害者装置上执行任意代码。
上周苹果只修补较新装置,包括iPhone 8以上、iPad Pro(所有机型)、iPad Air 3以上、iPad 5以上、iPad mini 5以上产品,以及执行macOS 13 Ventura的电脑。 周一苹果再释出操作系统更新,修补较旧产品。 其中iOS / iPadOS 15.7.5可解决旧版装置的问题,包括iPhone 6S、7、SE及iPad Air 2、iPad mini 4与iPod touch 7。
MacOS更新则包含macOS Big Sur 11.7.6与Monterey 12.6.5。
这次苹果只隔了一个周末就释出两批软件更新,比上一个零时差漏洞修补快了很多。 苹果2月间也修补WebKit的任意代码执行漏洞CVE-2023-23529,当时苹果只修补iPhone 8、iPad 5及macOS Ventura系统。 直到一个月后,即3月底苹果才解决旧版iPhone/iPad及Mac电脑的同一款漏洞。
