苹果周末紧急发布更新版iOS及iPadOS、watchOS,以修补一个已被开采的漏洞。
本波发布的是iOS 14.4.2及iPadOS 14.4.2,以及watchOS 7.3.3版。此外,苹果也针对旧版iOS产品,发布了iOS 12.5.2。这波更新主要修补的是CVE-2021-1879,影响Safari的核心引擎WebKit。这项漏洞可在用户Safari浏览器访问恶意网页内容时,触发统合式跨网站脚本(universal cross-site scripting,UXSS)。
苹果并未详细说明。但根据安全公司Acunetix掌握的信息,所谓UXSS类似跨网站脚本(XSS)攻击,但XSS攻击的是Web应用及网站漏洞,UXSS攻击目标则在浏览器或浏览器插件的漏洞上。此类漏洞遭到开采时会影响浏览器行为,也会绕过或关闭安全功能,造成攻击者得以访问同时内由浏览器打开(或缓存)的其他网页内容,或是执行恶意程序。
这次WebKit上的漏洞,是由Google威胁分析小组的Clement Lecigne和Billy Leonard所发现。苹果指出,该公司得知已有针对这项漏洞的开采行动。
苹果已经改善WebKit上对对象存留期(lifetime)的管理,以解决这项漏洞。
这次更新将会发送到iPhone 6S以上、iPad Pro所有机型、iPad Air2及第5代iPad、iPad mini 4及iPod Touch 7以上的机型。iOS 12.5.2影响产品则包括iPhone 5S、iPhone 6/ 6 Plus、iPad Air、iPad mini 2、3及iPod touch 6。苹果也呼吁用户尽早更新。