IT之家 12 月 12 日訊息,公司今天(12 月 12 日)釋出 iOS / iPadOS 18.2 以及 macOS 15.2 Sequoia 更新之外,還面向無法升級到 iPadOS 18 的 iPad 產品,釋出了 iPadOS 17.7.3 更新(內部版本號 21H312)。
蘋果關閉 iOS / iPadOS 17.7 驗證通道,已升級使用者無法降級。此外有訊息稱蘋果已停止 iOS 17.x 版本更新,17.7.2 將是其最後一個版本。
IT之家援引蘋果官方安全更新頁面,iPadOS 17.7.3 更新主要適用於 12.9 英寸 iPad Pro(第二代)、10.5 英寸 iPad Pro 和第六代 iPad,修復了包括字型、影象處理、記憶體管理、核心安全等多個方面的漏洞,惡意攻擊者可能利用這些漏洞竊取程序記憶體、導致系統崩潰或拒絕服務,甚至執行任意程式碼。
本次安全更新主要涉及以下幾個方面:
記憶體洩漏風險:
處理惡意製作的字型或影象可能導致程序記憶體洩漏(CVE-2024-54486、CVE-2024-54500)。
蘋果透過改進檢查機制解決了這些問題。
記憶體安全問題:
攻擊者可能建立可寫的只讀記憶體對映(CVE-2024-54494)、應用程式可能洩露敏感核心狀態(CVE-2024-54510)、應用程式可能導致系統意外終止或核心記憶體損壞(CVE-2024-44245)、處理惡意檔案可能導致拒絕服務(CVE-2024-44201、CVE-2024-54501)。
蘋果分別透過額外的驗證、改進鎖定機制、改進記憶體處理以及改進檢查機制解決了這些問題。
許可權提升及網路安全問題:
應用程式可能獲得提升的許可權(CVE-2024-44225)、特權網路位置的攻擊者可能篡改網路流量(CVE-2024-54492)、在啟用 iCloud 私人中繼的情況下,將網站新增到 Safari 閱讀列表可能洩露原始 IP 地址(CVE-2024-44246)。
蘋果分別透過改進檢查機制、使用 HTTPS 傳輸資訊以及改進 Safari 請求路由解決了這些問題。
其他安全問題:
物理接觸 iPadOS 裝置的攻擊者可能檢視鎖屏通知內容(CVE-2024-54485)、處理惡意網頁內容可能導致程序崩潰(CVE-2024-54479、CVE-2024-54505)。
蘋果透過新增額外邏輯、改進檢查機制以及改進記憶體處理解決了這些問題。