苹果公司更新了 iOS、iPadOS 和 macOS Sonoma,修复了两个可能向攻击者泄露个人数据的 WebKit 漏洞。
苹果公司周四发布了最新版本的操作系统,将 iOS 17 和 iPadOS 17 升级到 17.1.2,将 macOS Sonoma 升级到 14.1.2。这些版本主要修复了 WebKit 的安全漏洞,WebKit 是苹果公司的开源网页浏览器引擎,是各种互联网浏览器渲染网页内容的基础。
该更新解决了 iOS、iPadOS 和 macOS Sonoma 中同样的两个漏洞。
iOS 17.1.2、iPadOS iOS 17.1.2 和 macOS Sonoma 14.1.2 的安全更新
第一个 WebKit 缺陷
- 适用于:iPhone XS 及更新机型、iPad Pro 12.9 英寸第二代及更新机型、iPad Pro 10.5 英寸、iPad Pro 11 英寸第一代及更新机型、iPad Air 第三代及更新机型、iPad 第六代及更新机型、iPad mini 第五代及更新机型,以及 macOS Sonoma。
- 影响:处理网页内容可能会泄露敏感信息。苹果知悉有报告指出,此问题可能已被 iOS 16.7.1 之前的 iOS 版本利用。
- 说明:透过改进输入验证来解决越界阅读问题。
- CVE-2023-42916:谷歌威胁分析小组的 Clement Lecigne
第二个 WebKit 缺陷
- 适用于:iPhone XS 及更新机型、iPad Pro 12.9 英寸第二代及更新机型、iPad Pro 10.5 英寸、iPad Pro 11 英寸第一代及更新机型、iPad Air 第三代及更新机型、iPad 第六代及更新机型、iPad mini 第五代及更新机型,以及 macOS Sonoma
- 影响:处理网页内容可能导致任意代码执行。苹果知悉有报告指出,此问题可能已在 iOS 16.7.1 之前的 iOS 版本中被利用。
- 说明:已解决内存损坏漏洞: 通过改进锁定解决了内存损坏漏洞。
- CVE-2023-42917:谷歌威胁分析小组的 Clement Lecigne
含义
首先,"处理网页内容可能会泄露敏感信息" 是指 iOS 中的一个漏洞可能会在处理网页内容(如在 Safari 中浏览)时允许未经授权访问或泄露个人数据。
其次,"越界读取" 是指程序在预定内存分配边界之外读取数据的软件漏洞。这种漏洞会导致各种问题,包括未经授权访问敏感数据或系统崩溃。
输入验证是一种方法,程序在处理数据前会检查和验证接收到的数据,以确保数据的正确性和安全性。苹果公司确保系统更好地验证和清除输入数据,从而降低了此类漏洞的风险。
苹果提到,它至少收到了一份攻击者利用 WebKit 漏洞的报告,因此更新 iOS 17.1.2、iPadOS 17.1.2 和 macOS Sonoma 14.1.2 对保证安全至关重要。