【2025-01-28 05:02:00AI Siri网最新消息】
苹果的iOS 18.3和iPadOS 18.3更新包含了重要的安全改进,并修复了正在被积极利用的漏洞。此次更新的缘由值得关注。
本周一,经过一系列开发者测试版后,苹果向公众发布了iOS 18.3。这个更新不仅包含了多项显著的增强功能,比如Apple Intelligence通知摘要的变化,同时也带来了重要的安全补丁。
与大多数iOS更新类似,iOS 18.3修复了与iPhone操作系统多个功能和方面相关的核心安全问题。本次更新的许多变化旨在防止本地和远程攻击者访问用户的私密信息。
苹果还修复了一个在旧版iOS上被积极利用的漏洞,以及一些允许未经授权的蓝牙使用并赋予应用程序root权限的安全问题。通过iOS 18.3更新,攻击者可利用的漏洞显著减少,使一般用户的iPhone操作系统更加安全。
特别值得一提的是,iOS 18.3修复了一个被恶意行为者积极利用的关键漏洞。根据苹果的说法,已知报告指出,早于iOS 17.2的操作系统版本上存在的CoreMedia问题被利用。
这一现已修复的CoreMedia问题使得应用程序可以提升权限。苹果通过改进内存管理解决了此问题。
虽然iOS 18.3修复的其他安全漏洞尚未被攻击者利用,但这并不意味着这些修复不重要。苹果修复了多个安全问题,这些问题可能导致拒绝服务攻击、任意代码执行,进而让攻击者获取用户的个人信息。
iOS 18.3中的其他修复,保障您的数据安全。
其中一个现已修复的辅助功能漏洞,原由Abhay Kailasia发现,允许具备物理访问权限的攻击者访问照片应用中的信息,即使该应用本身被锁定,这一认证问题已经通过改进的状态管理得以解决。
一个现已修复的辅助功能漏洞允许未经授权访问照片应用。
苹果还修复了一个与时区相关的隐私问题,该问题允许应用通过系统日志查看某些联系人的电话号码。此漏洞通过改进日志条目的数据遮蔽功能得以解决。
iOS 18.3解决了一个先前影响SceneKit的越界读取问题,该问题在解析文件时可能导致用户信息泄露。此漏洞在Trend Micro Zero Day倡议的Michael DePlante发现后,苹果通过改进边界检查进行了修复。
一个现已修复的LaunchService问题使得应用能够识别用户身份。iOS 18.3通过提高敏感数据的遮蔽来修复了这一漏洞。
iOS 18.3防止未经授权的蓝牙访问,解决内核安全问题
在开源代码中的一个漏洞使得iOS应用能够未经授权地访问iPhone的蓝牙功能,该功能用于AirDrop及连接耳机等各种配件。由于该问题存在于开源代码中,其CVE-ID(CV-2024-9956)已经由第三方处理。
iOS 18.3还包含多个内核相关的修复。其中一个现已修复的权限问题使恶意应用能够获取root权限。苹果通过实施额外的限制来解决这一内核漏洞。
另外一个内核相关的验证问题允许应用以内核权限执行任意代码。iOS 18.3通过改进逻辑修复了这一安全问题。
iOS 18.3安全修复可防止拒绝服务攻击
苹果修复了多个可能导致拒绝服务攻击的漏洞。Oligo Security的Uri Katz发现了影响AirPlay的不同安全问题,使得远程攻击者或“特权位置”上的攻击者可以执行DOS攻击。
iOS 18.3更新修复了多个与AirPlay有关的漏洞,其中一些漏洞使拒绝服务攻击成为可能。
iOS 18.3通过改进输入验证和内存处理分别修复了这两个与AirPlay相关的漏洞。苹果还通过改进内存处理修复了另一未相关的ImageIO安全问题,这一问题使得DOS攻击成为可能。
另外,三个现已修复的AirPlay问题允许攻击者导致意外的应用程序终止和系统崩溃。这些不同的AirPlay漏洞还使得对进程内存的破坏和任意代码执行成为可能。iOS 18.3更新修复了这些与AirPlay相关的问题,潜在攻击者将不再能够利用任何漏洞。
Safari也修复了两个独立的漏洞,这些漏洞允许通过恶意网站伪造地址栏和iOS用户界面。苹果通过增加逻辑和用户界面改进来解决这两个安全问题。
Safari在iOS 18.3更新中进行了多项安全修复。
与此同时,WebKit修复了三个不同的安全问题。其一通过处理网页内容引发拒绝服务攻击,苹果通过改进内存处理解决了该问题。
另外两个WebKit漏洞分别涉及恶意网页内容能够识别用户身份或导致意外的进程崩溃。前者通过改进文件系统限制进行修复,而后者通过改进状态管理解决。
WebContentFilter也获得了重要的安全修复,修复了一个允许攻击者破坏内核内存或导致意外系统崩溃的漏洞。苹果还解决了影响WebKit Web Inspector的隐私问题,该问题通过复制URL实现命令注入。前者通过改进输入验证解决,后者则通过改进文件处理修复。
iOS 18.3更新中的其他安全修复
总体而言,iOS 18.3更新包含超过20个不同的安全修复,修复了多种漏洞。iOS 18.3的完整安全更新和修复列表可在苹果网站上查看。除了已经提到的修复漏洞,苹果还解决了ARKit、CoreAudio和CoreMedia的问题。
定期更新操作系统非常重要。苹果的最新安全修复确保恶意行为者获取用户私密数据的难度大大增加,其中一些修复甚至补丁了积极使用的攻击手段,这正是iOS 18.3更新所反映的。
