导读 苹果今天发布了iOS17.1.2和iPadOS17.1.2,以修复两个已被利用的零日漏洞。零日漏洞是开发人员不知道的漏洞,在得到缓解之前可以被利用。iOS...
苹果今天发布了iOS17.1.2和iPadOS17.1.2,以修复两个已被利用的零日漏洞。零日漏洞是开发人员不知道的漏洞,在得到缓解之前可以被利用。iOS17.1.2中发现的两个缺陷均涉及iPhoneXS及更高版本、iPadPro12.9英寸第二代及更高版本、iPadPro10.5英寸、iPadPro11英寸第一代及更高版本、iPad上的WebKit浏览器引擎Air第3代及更高版本、iPad第6代及更高版本以及iPadmini第5代及更高版本。
第一个漏洞可能会导致在处理Web内容时泄露敏感信息。苹果表示,它已获悉一份报告,指出该漏洞在iOS16.7.1之前的iOS版本上被利用。该问题的通用漏洞披露(CVE)编号为CVE-2023-42916,由Google威胁分析小组的ClémentLecigne发现。
正在修补的缺陷允许攻击者读取缓冲区之外的内存,从而使他们能够查看敏感信息和个人信息。我们讨论的是可能导致用户银行帐户被清空或未经授权使用用户信用卡的信息。苹果表示,越界读取问题已通过改进输入验证得到解决。
第二个漏洞的CVE编号为CVE-2023-42917,也是由Google威胁分析小组的ClémentLecigne发现的。有了这个缺陷,处理网页内容可能会导致任意代码执行,从而允许攻击者再次运行任何命令或代码,从而可能窃取个人信息。
与第一个CVE一样,这种信息可能会泄露某些密码或泄露其他信息,从而使攻击者能够进入您的银行帐户或使用您的信用卡购买可以快速转换为现金的物品。坏消息是,据苹果称,该漏洞在iOS16.7.1之前也被利用。苹果表示,内存损坏漏洞已通过改进锁定得到解决。
要安装更新,请转至“设置”>“常规”>“软件更新”。