苹果周一发布了针对 iOS、iPadOS、macOS、tvOS、watchOS 和 Safari 网络浏览器的安全补丁,以解决多个安全漏洞,此外还将针对最近披露的两个零日漏洞的修复程序向后移植到旧设备。
iOS、iPadOS 和 macOS:一览多重漏洞
苹果的安全团队发布了更新,针对 iOS、iPadOS、macOS、tvOS、watchOS 和 Safari 网络浏览器的多个安全漏洞。其中,iOS 和 iPadOS 中的 12 个漏洞在这波更新中受到特别关注,影响到 AVEVideoEncoder、ExtensionKit、Find My、ImageIO、Kernel、Safari Private Browsing 和 WebKit。
CVE-2023-45866:蓝牙的致命舞弊
在这场黑客的狩猎季节中,蓝牙成为一个危险的攻击面。CVE-2023-45866,一个隐藏在蓝牙中的关键安全问题,可能为拥有特权网络地位的攻击者提供了通过欺骗键盘来注入击键的机会。SkySafe 安全研究员 Marc Newlin 曝光了这一漏洞,而苹果在 iOS 17.2、iPadOS 17.2 和 macOS Sonoma 14.2 中进行了修复和改进。
Safari 的防线:拒绝服务和代码执行
黑客们甚至突破了 Safari 的防线。苹果发布的 Safari 17.2 包含了对两个 WebKit 缺陷(CVE-2023-42890 和 CVE-2023-42883)的修复,这些漏洞可能导致任意代码执行和拒绝服务 (DoS) 情况。这项更新适用于运行 macOS Monterey 和 macOS Ventura 的 Mac。
iOS 17.2 和 iPadOS 17.2:iMessage 的保密之旅
苹果不仅仅是在修复漏洞,还在提高用户隐私安全。iOS 17.2 和 iPadOS 17.2 解决了 Siri 错误,并引入了联系人密钥验证,以确保用户可以验证 iMessage 对话的隐私。这种技术的部署使得用户设备本身能够验证一致性证明,确保账户的所有用户设备上的 KT 系统保持一致。
更新不止于此:iOS 16.7.3 和 iPadOS 16.7.3
除了上述更新,苹果还推出了 iOS 16.7.3 和 iPadOS 16.7.3,致力于解决多达 8 个安全问题,其中两个涉及到 WebKit(CVE-2023-42916 和 CVE-2023-42917)。这两个漏洞早在雷蒙德报告的本月初就已经在野外被积极利用,现在终于得到了修复。
黑客的威胁依然悬而未决
尽管苹果公司积极采取措施修复这些漏洞,但黑客的威胁依然存在。目前尚无关于这些漏洞被利用的更多详细信息,而黑客们可能正在等待时机展开更大规模的攻击。在这个数字时代,安全永远是一个不断升级的战场。
📮评论