自从iOS 17在今年9月推出以来,历经一个多月时间,苹果也释出首次重大iOS 17.1正式版系统更新,除了带来多项iOS 17.1新功能与错误改进外,同时也修正18个安全漏洞错误,官方也建议所有iPhone用户尽快升级安装。
根据苹果公布的iOS 17.1安全性更新页面,这次的更新涵盖了大量的安全性修复和功能改进,包括针对联络人、寻找我的、照片、天气、Siri、ImageIO、网络工具包、mDNS响应气、邮件草稿等项目的修复。 此外,还修补了 WebKit、Pro Res、万能钥匙、Kernel 核心错误和 mDNSResponder 等系统漏洞。
苹果已经为iOS 17.1修补了18个漏洞和功能异常错误,另外在苹果释出这次修补前,还尚未有已知的安全漏洞被黑客积极利用报告。 以下是iOS 17.1系统安全修复完整更新说明:
iOS 17.1 安全漏洞与隐私错误修正
- 联系方式(Contacts):应用程序能够访问敏感用户数据,通过改进日志条目的私人数据解决隐私问题。
- 寻找我的:应用程序能够读取敏感位置信息,通过改进缓存处理得到解决。
- imageIO:处理图像可能会导致进程内存泄露,通过改进内存处理得到解决。
- IOTextEncryptionFamily:应用程序能取得系统核心权限并执行任意代码,通过改进内存处理得到解决。
- Kernel:攻击者能通过系统漏洞绕过内存缓解措施,利用改进内存处理解决。
- mDNSResponder:设备可能会通过其 Wi-Fi MAC 地址进行被动跟踪,已通过删除易受攻击的代码得到解决。
- 万能钥匙:攻击者或许无需身份验证即可访问密钥,已通过改进检查解决逻辑问题。
- Pro Res:应用程序或许能够使用核心权限执行任意代码,通过改进内存处理得到解决。
- Siri:具有物理访问权限的攻击者或许能够使用 Siri 访问敏感用户数据,已通过限制锁定设备上提供的选项来解决。
- 天气:应用程序或许能够访问敏感用户数据,通过改进日志条目的私人数据解决了隐私问题。
- WebKit:处理 Web 内容可能会导致任意代码执行,该问题已通过改进内存处理得到解决。 (CVE-2023-40447、CVE-2023-41976、CVE-2023-42852)
- WebKit Process Model:处理 Web 内容可能会导致拒绝服务,已通过改进内存处理得到解决。
iOS 17.1 功能异常错误修正
- 核心动画(CoreAnimation):应用程序可能会导致拒绝服务,利用改进内存处理解决。
- 邮件草稿:隐藏我的电子邮件可能会意外停用错误,通过改进状态管理得到解决。
- 照片:无需身份验证即可查看隐藏相册中的照片,已通过改进状态管理解决身份验证问题。
- 状态栏:设备可能无法锁定,此问题已通过改进UI处理得到解决。
