苹果公司刚刚确定两个安全漏洞iPhone、iPad 和 Mac 的操作系统中。该公司明确指出“这个问题可能已被积极利用”由海盗。谷歌威胁分析小组和国际特赦组织安全实验室发现,这两个漏洞允许黑客在终端上任意执行代码。
另请阅读:这些 iPhone 和 iPad 可能永远不会收到 iOS 17
两个缺陷造成严重后果
第一个违规行为涉及IOSurface加速器,加速框架内转移的工具IOSurface,出于安全原因,它允许应用程序在单独的进程中解压缩某些图像。通过利用这一点“越界写入问题”,一个应用程序可以实现“使用内核权限执行任意代码”。
恶意应用程序可能会绕过安全限制来损坏数据、使设备崩溃或窃取个人数据。理论上,攻击者可以访问敏感信息存储在终端上,例如密码或标识符,甚至完全控制设备。据加密货币巨头称币安,该漏洞还危及持有加密资产的投资者。一旦被利用,该缺陷实际上可以用来窃取加密货币:
“这可能会导致未经授权的交易、私钥或其他敏感数据的丢失”。
第二个漏洞影响 WebKit,Safari 的渲染引擎,允许开发人员在应用程序中显示网页。攻击者可以通过欺骗目标来利用此缺陷访问恶意网页例如,作为网络钓鱼攻击的一部分,苹果公司详细介绍了这一点。一旦页面被目标加载,就可以在目标设备上任意执行代码。
在这里,该缺陷再次对加密货币持有者构成威胁。正如币安指出的那样,此次泄露可能会泄露用户通过 Safari 访问的交易所或数字钱包存储的任何敏感数据。
请注意,Apple 已于 2023 年 2 月修复了 Webkit 中发现的缺陷。同样,该漏洞允许网页导致在目标设备上执行任意代码。该公司认为该漏洞可能已被利用。 9 月份也发现了类似的缺陷,并在 iOS 15.6.1 中得到了纠正。
快速安装更新
为了纠正这种情况并保护其用户,这家库比蒂诺巨头部署了一系列更新改进输入验证和内存管理。首先,苹果在上周开始推出的 iOS 16.4.1、iPadOS 16.4.1、macOS Ventura 13.3.1 和 Safari 16.4.1 更新中包含了修复程序。这些更新影响了以下所有设备:
- 此后发布的所有 iPhoneiPhone 8
- 所有 iPad 专业人士
- 自 iPad Air 3 以来发布的所有 iPad Air
- iPad 5 之后发布的所有 iPad
- 自第五代以来发布的所有 iPad mini
- 所有 Mac 电脑均位于macOS 文图拉
我们建议您前往设置设备的。然后转到该部分一般的,然后在软件更新。您的设备上应该会提供更新。在 Mac 上,转至苹果菜单,然后单击系统设置, 前往一般的,然后在软件更新。
然而,这并不是唯一受缺陷影响的设备之一。几天后,苹果部署了针对其目录中最旧 iPhone 的修复程序,但在 iOS 15 上被阻止。iOS 15.7.5 更新纠正了上述两个漏洞,适用于 iPhone 6s、iPhone 7、iPhone SE (第 1 代)和 iPod Touch(第 7 代)。
在此过程中,Apple 推出了针对 iPad 的修复,但仍仅限于 iPadOS 15,即 iPad Air 2 和 iPad mini(第四代)。如果您的平板电脑受到影响,我们建议您尽快安装iPadOS 15.7.5。
来源 : 苹果
