苹果周二(1/24)公布iOS 16.3、iPadOS 16.3及macOS Ventura 13.2,以修补WebKit、核心、以及Intel驱动程序内的程序代码执行等多项漏洞,呼吁用户应尽快更新。
iOS 16.3、iPadOS 16.3修补了4项程序代码执行漏洞,其中3项位于旧版OS的WebKit。CVE-2023-23496和处理网页加载检查不足有关,CVE-2023-2351、CVE-2023-23518则出于内存处理不当,这3个漏洞都会使WebKit处理恶意网页内容时,面临任意程序代码攻击。第4项漏洞CVE-2023-23504则是位于iOS 16.2及iPadOS 16.2及macOS 13.1以前的核心,出在内存处理不当,使恶意App得以通过核心权限执行任意程序代码。
macOS 13.2除了前述4个漏洞,还修补了2项程序代码执行瑕疵。Intel显卡的CVE-2023-23507,能使恶意App以核心权限执行任意程序代码。Samba网络芳邻共享中的程序代码执行漏洞编号为CVE-2023-23513。
其次,iOS 16.3、iPadOS 16.3及macOS Ventura 13.2也修补了Safari二项漏洞,其中CVE-2023-23510让App访问Safari的上网记录,CVE-2023-23512可在浏览器访问恶意网页时,导致拒绝服务(Denial of Service,DoS)攻击。ImageIO组件中的CVE-2023-23519,可在处理恶意图片时引发内存毁损,造成拒绝服务。
macOS Ventura更新并修补了一项重要漏洞,为影响Packagekit的CVE-2023-23497,属于状态管理的逻辑问题,可允许恶意App得以取得root权限。而CVE-2023-23493可在不输入密码情况下将用户的加密磁盘(volume)挂载到攻击者账号下,造成资料窃取。
这波更新还分别修补了影响iOS、iPadOS及macOS Ventura中的多项资讯泄露漏洞,影响Maps、Weather、屏幕时间(Screen Time)以及OS核心等组件。