根據 PhoneArena 的最新報導,蘋果公司緊急推出 iOS 17.1.2 和 iPadOS 17.1.2,以修補兩個嚴重的零日漏洞。這兩個漏洞已在 iPhone XS 和之後的型號,以及 iPad Pro 12.9 英寸(第二代及之後的型號),iPad Pro 10.5 英寸,iPad Pro 11 英寸(第一代及之後的型號),iPad Air(第三代及之後的型號),iPad(第六代及之後的型號),以及iPad mini(第五代及之後的型號)中被發現並利用。
這兩個漏洞都涉及到 WebKit 瀏覽器引擎。第一個漏洞可能會在處理網頁內容時洩露敏感信息。蘋果公司表示,該漏洞在 iOS 16.7.1 之前的版本中被利用的報告。該問題被賦予了一個通用漏洞和暴露(CVE)編號 CVE-2023-42916,並由 Google 的威脅分析小組的 Clément Lecigne 發現。
第二個漏洞允許攻擊者讀取超出緩衝區的內存,從而看到敏感和個人信息。這種信息可能導致用戶的銀行賬戶被清空,或者未經用戶許可的情況下使用用戶的信用卡。蘋果表示,此次越界讀取已通過增强的輸入驗證得到解決。
這個第二個漏洞的 CVE 編號為 CVE-2023-42917,同樣由 Google 的威脅分析小組的 Clément Lecigne 發現。與此同時,這個漏洞還可能導致進行任意代碼執行,允許攻擊者運行任何命令或代碼,並可能偷取個人信息。蘋果表示,該內存破壞漏洞已通過增強鎖定得到解決。蘋果用戶可以通過設置>通用>軟體更新來安裝此次更新。
資料來源:PhoneArena
