【大紀元2023年04月11日訊】(英文大紀元記者Jack Phillips撰文/趙孜濟編譯)大約在蘋果公司之前發布的操作系統版本更新兩週後,該公司於4月7日又發布了iOS 16.4.1,此次更新是為了修補可能被利用的漏洞。
雖然這家科技巨頭沒有提供有關修補程序的太多細節,但根據蘋果支持頁面,它表示這些被標記為CVE-2023-28205和CVE-2023-28206的錯誤已在其最新更新中得到修復。
「為了保護我們的客戶,在進行調查並發布補丁或新版本之前,蘋果不會披露、討論或確認安全問題。最新版本已經列在蘋果安全更新頁面上。」蘋果在其網站上表示。
安全公司Sophos在將該修補程序描述為「緊急補丁」時表示,CVE-2023-28205是「Webkit或Safari瀏覽器引擎中的一個漏洞」。在受感染的網站上,「網絡犯罪分子可以控制你的瀏覽器,或者任何使用WebKit顯示HTML內容的應用程序。」許多應用程序和瀏覽器(不僅僅是 Safari)都使用WebKit。
Sophos指出,「蘋果自己的Safari瀏覽器使用WebKit,使其直接容易受到WebKit錯誤的攻擊。此外,蘋果的App Store規則意味著iPhone和iPad上的所有瀏覽器都必須使用WebKit,這使得這種錯誤成為移動蘋果設備的真正跨瀏覽器問題。」
第二個漏洞CVE-2023-28206涉及IOSurfaceAccelerator中的一個安全漏洞,該漏洞可能允許應用程序以內核權限執行代碼,這意味著,如果沒有打補丁,攻擊者可以在iOS中針對代碼的核心。
Sophos指出,「這個安全漏洞會使上當受騙的本地應用程序將其流氓代碼直接注入操作系統內核本身。內核代碼執行錯誤不可避免地比應用程序級錯誤嚴重得多,因為內核負責管理整個系統的安全性,包括應用程序可以獲得的權限,以及應用程序之間共享文件和數據的自由程度。」
另一家安全公司Malwarebytes表示,如果攻擊者能夠獲得iOS內核權限,這是一個「嚴重問題」,因為這些人可能擁有「不僅僅是管理員權限」。這意味著惡意行為者可以「通過安全漏洞獲得對底層硬件的完全和不受限制的訪問權限」。
對於這兩種情況,蘋果在其網站上都表示,它「知道有報導稱這個問題可能已被利用」。Sophos和其他安全研究人員表示,用戶應儘快更新使用iOS 16.4的iPhone,iPad,MacBook和其它Apple設備。
「你可能已經收到了蘋果的更新通知。如果你還沒有更新,或者你收到了通知,但暫時拒絕了它,我們建議儘快強制進行更新檢查。」Sophos說。
消費者可以到「設置」(Settings)->「常規」(General)->「軟件更新」(Software Update),手動更新到iPhone或iPad上的最新版本。然後,他們應該單擊「下載並安裝」(Download and Install),按照提示操作,然後等待手機重新啟動。
在Mac筆記本電腦和台式電腦上,情況類似。用戶可以打開Apple菜單並選擇「系統設置」(System Settings),然後轉到「常規」,然後單擊「軟件更新」。
其它更新
根據蘋果的網站,iOS 16.4和現在的iOS 16.4.1可以在iPhone 8及更高版本的所有iPhone上運行。蘋果還在上個月發布了適用於舊款iPhone的iOS 15.7.4。
大約一週前的週一,蘋果公司對其iOS 15.7.4和iPadOS 15.7.4,iOS 16.4和iPadOS 16.4,Safari 16.4,Studio Display Firmware Update 16.4,watchOS 9.4,tvOS 16.4,macOS Big Sur 11.7.5,macOS Monterey 12.6.4和macOS Ventura 13.3升級進行了更新。該更新涵蓋了iPhone 6s,iPhone 7s,第一代iPhone SE,iPad Air 2,後來的iPad Mini和第七代iPod touch的所有型號。◇
原文「」刊於英文《大紀元時報》網站。
責任編輯:高靜#