今天,当苹果发布iOS 18.2时,头条新闻大多集中在重大变化上,包括新的苹果智能功能,如Image Playground和Genmoji。但苹果发布的任何软件都有其安全补丁不为人知的一面。iOS 18.2也不例外:苹果公司针对运行iOS 18.1.1及更早版本的iPhone发布了20个安全漏洞修复程序。虽然目前这些漏洞似乎都没有被积极利用,但它们强调了尽快更新设备的重要性。
当我浏览修复列表时,有几个特别吸引了我。首先是修复音频缺陷,在振铃时将呼叫静音可能意味着静音功能失效。不用说,您应该能够在通话时信任静音按钮,因此任何可能导致静音按钮失败的问题都值得关注。幸运的是,苹果表示已经修复了“不一致的用户界面”来解决这个问题。另一个令人担忧的漏洞是VoiceOver:通过这个屏幕阅读器功能的漏洞,攻击者可以在你的锁定屏幕上读取通知,而这些通知通常是隐藏的,直到你的iPhone解锁。
还有一些修复程序可以防止恶意应用程序、图像、文件和网络内容对你的设备造成严重破坏。例如,AppleMobileFileIntegrity漏洞允许恶意应用程序访问你的私人信息,而SceneKit漏洞允许恶意文件导致拒绝服务,这可能会将授权用户锁定在设备之外。
好消息是,似乎没有人处于被这些漏洞攻击的危险之中:苹果没有透露有任何漏洞被积极利用,这表明恶意用户要么不知道这些漏洞,要么不知道如何利用它们。也就是说,既然这些漏洞已经暴露,坏人找到利用它们的方法只是时间问题,所以尽快更新你的iPhone仍然是明智之举。
你可以在下面看到完整的缺陷列表:
AppleMobileFileIntegrity (CVE-2024-54526):恶意应用可能会访问隐私信息。改进的检查解决了这个问题。
AppleMobileFileIntegrity (CVE-2024-54527):应用程序可能能够访问敏感用户数据。改进的检查解决了这个问题。
音频(CVE-2024-54503):在振铃时静音呼叫可能不会导致静音被启用。改进的状态管理解决了不一致的用户界面问题。
Crash Reporter (CVE-2024-54513):应用程序可能能够访问敏感用户数据。通过附加限制解决了权限问题。
FontParser (CVE-2024-54486):处理恶意制作的字体可能导致进程内存泄露。改进的检查解决了这个问题。
ImageIO (CVE-2024-54500):处理恶意制作的映像可能导致进程内存泄露。改进的检查解决了这个问题。
内核漏洞(CVE-2024-54494):攻击者可能会创建一个只读内存映射,可以写入。用额外的验证解决了一个竞争条件。
内核漏洞(CVE-2024-54510):应用程序可能会泄露敏感的内核状态。通过改进的锁定解决了竞争条件。
内核漏洞(CVE-2024-44245):应用程序可能会导致意外的系统终止或破坏内核内存。改进的内存处理解决了这个问题。
libexpat (CVE-2024-45490):远程攻击者可能导致意外的应用程序终止或任意代码执行。这是开源代码中的一个漏洞,苹果软件是受影响的项目之一。
libxpc (CVE-2024-54514):一个应用程序可能能够打破它的沙箱。改进的检查解决了这个问题。
libxpc (CVE-2024-44225):一个应用程序可能能够获得提升的权限。通过改进的检查解决了一个逻辑问题。
密码(CVE-2024-54492):处于特权网络位置的攻击者可能能够改变网络流量。通过在网络上发送信息时使用HTTPS解决了这个问题。
Safari (CVE-2024-44246):在启用了私有中继的设备上,将网站添加到Safari阅读列表可能会显示该网站的原始IP地址。这个问题通过改进safari发起请求的路由得到了解决。
SceneKit (CVE-2024-54501):处理恶意制作的文件可能导致拒绝服务。改进的检查解决了这个问题。
VoiceOver (CVE-2024-54485):物理访问iOS设备的攻击者可能能够从锁定屏幕查看通知内容。通过添加额外的逻辑解决了这个问题。
WebKit (CVE-2024-54479/CVE-2024-54502):处理恶意制作的web内容可能导致意外的进程崩溃。改进的检查解决了这个问题。
WebKit (CVE-2024-54508):处理恶意制作的web内容可能导致意外的进程崩溃。改进的内存处理解决了这个问题。
WebKit (CVE-2024-54505):处理恶意制作的web内容可能导致内存损坏。通过改进内存处理解决了类型混淆问题。
WebKit (CVE-2024-54534):处理恶意制作的web内容可能导致内存损坏。改进的内存处理解决了这个问题。
苹果还发布了iPadOS、macOS Sequoia、macOS Sonoma、macOS Ventura、watchOS、tvOS和visionOS的安全更新。如果你有这些设备,你也应该尽快更新它们。
