蘋果iPhone和iPad最新更新 修復零時差漏洞

編譯／鄭智懷

蘋果（Apple）在美西時間13日）向iPhone和iPad用戶推出iOS 16.3.1 及 iPadOS 16.3.1 正式版。此次更新為客戶提供最新發現的錯誤修正和零時差漏洞修復。

蘋果官網指出，本次更新機型包含iPhone 8 及後續機型、iPad Pro（所有機型）、iPad Air 第三代及後續機型、iPad 第五代及後續機型、iPad mini 第五代及後續機型。

在系統的錯誤修正上，蘋果表示核心（kernel）的部分錯誤可能導致APP運作時可以使用內核權限執行任意代碼（CVE-2023-23514）；本次更新已經透過內存管理的修正解決相關問題。該錯誤由盤古實驗室（Pangu Lab）和谷歌（Google）旗下的（Project Zero）研究員共同發現並通報。

在零時差漏洞方面，蘋果指出網頁瀏覽器Safari所使用的瀏覽器引擎WebKit出現CVE-2023-23514安全漏洞，導致用戶進入惡意網頁後，可能會因此被駭客入侵；本次更新已經修正類型混淆問題。

雖然蘋果在公告中將漏報通報歸功於某匿名研究員，以及額外感謝公民實驗室（Citizen Lab）。該組織隸屬於加拿大多倫多大學（University of Toronto）的蒙克國際研究中心（Munk School of Global Affairs），以揭發政府駭客工具濫用，例如以色列駭客公司NSO Group開發的各種產品而聞名於世。

在面對媒體詢問更新內容的資安問題時，蘋果發言人 Scott Radcliffe表示除了公告內容外，並沒有任何需要補充的地方；公民實驗室的高級研究員 Bill Marczak則指出，實驗室所有成員目前沒有任何評論。

網路媒體《TechCrunch》建議，雖然一般iPhone成為零時差漏洞攻擊目標的可能性不大，但是用戶仍應隨時保持系統在最新更新版本，完善保護措施。

資料來源：Apple、TechCrunch

瀏覽 860 次