fitA
本周一,苹果发布了针对iOS、iPadOS、macOS、tvOS、watchOS和Safari Web浏览器的安全补丁,以解决多个安全漏洞,同时还将两个最近披露的零日漏洞的修复措施移植到旧设备上。
其中包括针对iOS和iPadOS中12个安全漏洞的更新,涵盖AVEVideoEncoder、ExtensionKit、Find My、ImageIO、Kernel、Safari Private Browsing和WebKit。至于macOS Sonoma 14.2,解决了39个缺陷,其中包括影响ncurses库的六个漏洞。
在这些漏洞中,CVE-2023-45866是一个蓝牙中的严重安全问题,可能允许处于特权网络位置的攻击者通过伪造键盘注入按键。上周,该漏洞由SkySafe安全研究员Marc Newlin披露。苹果表示,已在iOS 17.2、iPadOS 17.2和macOS Sonoma 14.2中通过改进的检查措施予以修复。
此外,苹果还发布了Safari 17.2,其中包含对两个WebKit漏洞(CVE-2023-42890和CVE-2023-42883)的修复,可能导致任意代码执行和拒绝服务(DoS)条件。此更新适用于运行macOS Monterey和macOS Ventura的Mac。
iOS 17.2和iPadOS 17.2除了解决允许具有物理访问权限的对手获取敏感数据的Siri错误外,还通过Contact Key Verification提供了一项安全升级,该功能通过使用户能够验证他们正在与之通信的联系人,确保iMessage对话的隐私性。
在2023年10月的技术说明中,苹果指出:“iMessage Contact Key Verification通过让用户设备自行验证一致性证明,确保帐户的所有用户设备之间的KT系统的一致性,推动了Key Transparency部署的最新技术。”
“这些改进可以防止密钥目录泄漏以及透明服务本身的妥协,并且可以检测到由两个服务呈现的分裂视图。”
与更新同时发布的还有iOS 16.7.3和iPadOS 16.7.3,以解决多达八个安全问题,其中两个与WebKit相关(CVE-2023-42916和CVE-2023-42917),据Redmond透露,这两个漏洞本月早些时候在野外被积极利用。
这两个漏洞也在tvOS 17.2和watchOS 10.2中得到修补。目前尚无有关利用性质和可能使用它们的威胁行为者的额外详细信息。
