一位女士正在使用iPhone的资料图
大约在苹果公司之前发布的操作系统版本更新两周后,该公司于4月7日又发布了iOS16.4.1,此次更新是为了修补可能被利用的漏洞。
虽然这家科技巨头没有提供有关修补程序的太多细节,但根据苹果支持页面,它表示这些被标记为CVE-2023-28205和CVE-2023-28206的错误已在其最新更新中得到修复。
“为了保护我们的客户,在进行调查并发布补丁或新版本之前,苹果不会披露、讨论或确认安全问题。最新版本已经列在苹果安全更新页面上。”苹果在其网站上表示。
安全公司Sophos在将该修补程序描述为“紧急补丁”时表示,CVE-2023-28205是“Webkit或Safari浏览器引擎中的一个漏洞”。在受感染的网站上,“网络犯罪分子可以控制你的浏览器,或者任何使用WebKit显示HTML内容的应用程序。”许多应用程序和浏览器(不仅仅是 Safari)都使用WebKit。
Sophos指出,“苹果自己的Safari浏览器使用WebKit,使其直接容易受到WebKit错误的攻击。此外,苹果的App Store规则意味着iPhone和iPad上的所有浏览器都必须使用WebKit,这使得这种错误成为移动苹果设备的真正跨浏览器问题。”
第二个漏洞CVE-2023-28206涉及IOSurfaceAccelerator中的一个安全漏洞,该漏洞可能允许应用程序以内核权限执行代码,这意味着,如果没有打补丁,攻击者可以在iOS中针对代码的核心。
Sophos指出,“这个安全漏洞会使上当受骗的本地应用程序将其流氓代码直接注入操作系统内核本身。内核代码执行错误不可避免地比应用程序级错误严重得多,因为内核负责管理整个系统的安全性,包括应用程序可以获得的权限,以及应用程序之间共享文件和数据的自由程度。”
另一家安全公司Malwarebytes表示,如果攻击者能够获得iOS内核权限,这是一个“严重问题”,因为这些人可能拥有“不仅仅是管理员权限”。这意味着恶意行为者可以“通过安全漏洞获得对底层硬件的完全和不受限制的访问权限”。
对于这两种情况,苹果在其网站上都表示,它“知道有报导称这个问题可能已被利用”。Sophos和其他安全研究人员表示,用户应尽快更新使用iOS16.4的iPhone,iPad,MacBook和其它Apple设备。
“你可能已经收到了苹果的更新通知。如果你还没有更新,或者你收到了通知,但暂时拒绝了它,我们建议尽快强制进行更新检查。”Sophos说。
消费者可以到“设置”(Settings)->“常规”(General)->“软件更新”(Software Update),手动更新到iPhone或iPad上的最新版本。然后,他们应该单击“下载并安装”(Download and Install),按照提示操作,然后等待手机重新启动。
在Mac笔记本电脑和台式电脑上,情况类似。用户可以打开Apple菜单并选择“系统设置”(System Settings),然后转到“常规”,然后单击“软件更新”。
其它更新
根据苹果的网站,iOS16.4和现在的iOS16.4.1可以在iPhone8及更高版本的所有iPhone上运行。苹果还在上个月发布了适用于旧款iPhone的iOS15.7.4。
大约一周前的周一,苹果公司对其iOS15.7.4和iPadOS15.7.4,iOS16.4和iPadOS16.4,Safari16.4,Studio Display Firmware Update16.4,watchOS9.4,tvOS16.4,macOS Big Sur11.7.5,macOS Monterey12.6.4和macOS Ventura13.3升级进行了更新。该更新涵盖了iPhone6s,iPhone7s,第一代iPhone SE,iPad Air2,后来的iPad Mini和第七代iPod touch的所有型号。
原文“Apple Issues Emergency Updates to iPhones After Exploits Found”刊于英文《大纪元时报》网站。