一位女士正在使用iPhone的資料圖
大約在蘋果公司之前發布的作業系統版本更新兩周後,該公司於4月7日又發布了iOS16.4.1,此次更新是為了修補可能被利用的漏洞。
雖然這家科技巨頭沒有提供有關修補程序的太多細節,但根據蘋果支持頁面,它表示這些被標記為CVE-2023-28205和CVE-2023-28206的錯誤已在其最新更新中得到修復。
「為了保護我們的客戶,在進行調查並發布補丁或新版本之前,蘋果不會披露、討論或確認安全問題。最新版本已經列在蘋果安全更新頁面上。」蘋果在其網站上表示。
安全公司Sophos在將該修補程序描述為「緊急補丁」時表示,CVE-2023-28205是「Webkit或Safari瀏覽器引擎中的一個漏洞」。在受感染的網站上,「網絡犯罪分子可以控制你的瀏覽器,或者任何使用WebKit顯示HTML內容的應用程式。」許多應用程式和瀏覽器(不僅僅是 Safari)都使用WebKit。
Sophos指出,「蘋果自己的Safari瀏覽器使用WebKit,使其直接容易受到WebKit錯誤的攻擊。此外,蘋果的App Store規則意味著iPhone和iPad上的所有瀏覽器都必須使用WebKit,這使得這種錯誤成為移動蘋果設備的真正跨瀏覽器問題。」
第二個漏洞CVE-2023-28206涉及IOSurfaceAccelerator中的一個安全漏洞,該漏洞可能允許應用程式以內核權限執行代碼,這意味著,如果沒有打補丁,攻擊者可以在iOS中針對代碼的核心。
Sophos指出,「這個安全漏洞會使上當受騙的本地應用程式將其流氓代碼直接注入作業系統內核本身。內核代碼執行錯誤不可避免地比應用程式級錯誤嚴重得多,因為內核負責管理整個系統的安全性,包括應用程式可以獲得的權限,以及應用程式之間共享文件和數據的自由程度。」
另一家安全公司Malwarebytes表示,如果攻擊者能夠獲得iOS內核權限,這是一個「嚴重問題」,因為這些人可能擁有「不僅僅是管理員權限」。這意味著惡意行為者可以「通過安全漏洞獲得對底層硬體的完全和不受限制的訪問權限」。
對於這兩種情況,蘋果在其網站上都表示,它「知道有報導稱這個問題可能已被利用」。Sophos和其他安全研究人員表示,用戶應儘快更新使用iOS16.4的iPhone,iPad,MacBook和其它Apple設備。
「你可能已經收到了蘋果的更新通知。如果你還沒有更新,或者你收到了通知,但暫時拒絕了它,我們建議儘快強制進行更新檢查。」Sophos說。
消費者可以到「設置」(Settings)->「常規」(General)->「軟體更新」(Software Update),手動更新到iPhone或iPad上的最新版本。然後,他們應該單擊「下載並安裝」(Download and Install),按照提示操作,然後等待手機重新啟動。
在Mac筆記型電腦和桌上型電腦上,情況類似。用戶可以打開Apple菜單並選擇「系統設置」(System Settings),然後轉到「常規」,然後單擊「軟體更新」。
其它更新
根據蘋果的網站,iOS16.4和現在的iOS16.4.1可以在iPhone8及更高版本的所有iPhone上運行。蘋果還在上個月發布了適用於舊款iPhone的iOS15.7.4。
大約一周前的周一,蘋果公司對其iOS15.7.4和iPadOS15.7.4,iOS16.4和iPadOS16.4,Safari16.4,Studio Display Firmware Update16.4,watchOS9.4,tvOS16.4,macOS Big Sur11.7.5,macOS Monterey12.6.4和macOS Ventura13.3升級進行了更新。該更新涵蓋了iPhone6s,iPhone7s,第一代iPhone SE,iPad Air2,後來的iPad Mini和第七代iPod touch的所有型號。
原文「Apple Issues Emergency Updates to iPhones After Exploits Found」刊於英文《大紀元時報》網站。
