蘋果iPhone和iPad最新更新 修復零時差漏洞
編譯/鄭智懷
蘋果(Apple)在美西時間13日)向iPhone和iPad用戶推出iOS 16.3.1 及 iPadOS 16.3.1 正式版。此次更新為客戶提供最新發現的錯誤修正和零時差漏洞修復。
蘋果官網指出,本次更新機型包含iPhone 8 及後續機型、iPad Pro(所有機型)、iPad Air 第三代及後續機型、iPad 第五代及後續機型、iPad mini 第五代及後續機型。
在系統的錯誤修正上,蘋果表示核心(kernel)的部分錯誤可能導致APP運作時可以使用內核權限執行任意代碼(CVE-2023-23514);本次更新已經透過內存管理的修正解決相關問題。該錯誤由盤古實驗室(Pangu Lab)和谷歌(Google)旗下的(Project Zero)研究員共同發現並通報。
在零時差漏洞方面,蘋果指出網頁瀏覽器Safari所使用的瀏覽器引擎WebKit出現CVE-2023-23514安全漏洞,導致用戶進入惡意網頁後,可能會因此被駭客入侵;本次更新已經修正類型混淆問題。
雖然蘋果在公告中將漏報通報歸功於某匿名研究員,以及額外感謝公民實驗室(Citizen Lab)。該組織隸屬於加拿大多倫多大學(University of Toronto)的蒙克國際研究中心(Munk School of Global Affairs),以揭發政府駭客工具濫用,例如以色列駭客公司NSO Group開發的各種產品而聞名於世。
在面對媒體詢問更新內容的資安問題時,蘋果發言人 Scott Radcliffe表示除了公告內容外,並沒有任何需要補充的地方;公民實驗室的高級研究員 Bill Marczak則指出,實驗室所有成員目前沒有任何評論。
網路媒體《TechCrunch》建議,雖然一般iPhone成為零時差漏洞攻擊目標的可能性不大,但是用戶仍應隨時保持系統在最新更新版本,完善保護措施。
資料來源:Apple、TechCrunch
瀏覽 936 次