苹果替iPhone用户全面释出iOS 17.4更新,同时也带来多项功能与改进,像是开放欧盟App Store侧载、iMessage量子安全加密、CarPlay 2.0新功能、Emoji表情符号、iPhone电池健康度调整等。
不过iOS 17.4正式版更新也带来4项系统安全漏洞修复,苹果也指出有两项漏洞已经正在被积极使用中,建议所有iPhone用户尽快更新到最新iOS 17版本。
根据苹果iOS 17.4与iPadOS 17.4安全性更新页面提到,这次替iPhone和iPad修补四个极为重大安全漏洞,其中系统核心与RTKit漏洞都已经遭到积极利用,黑客能够绕过核心内存保护,并且能取得系统最高权限。
还有两个iOS 17.4安全漏洞是存在辅助功能层面,能够造成应用程序读取用户个人隐私敏感性资料、Safari私密浏览纪录与敏感位置信息。
iOS 17.4 安全性修补细节
适用于:iPhone XS 及更新机型、iPad Pro 12.9 寸第2 代及更新机型、iPad Pro 10.5 寸、iPad Pro 11 寸第1 代及更新机型、iPad Air 第3 代及更新机型、iPad第6 代及更新机型以及iPad mini第五代及以后
影响:具有任意核心读写能力的攻击者或许能够绕过核心内存保护。 苹果公司获悉有报告称该问题可能已被利用。
修正方式:已通过改进验证解决内存损坏问题。
RTKit漏洞(CVE-2024-23296)
适用于:iPhone XS 及更新机型、iPad Pro 12.9 寸第2 代及更新机型、iPad Pro 10.5 寸、iPad Pro 11 寸第1 代及更新机型、iPad Air 第3 代及更新机型、iPad第6 代及更新机型以及iPad mini第五代及以后
影响:具有任意核心读写能力的攻击者或许能够绕过核心内存保护。 苹果公司获悉有报告称该问题可能已被利用。
修正方式:已通过改进验证解决内存损坏问题。
Safari 私密浏览漏洞(CVE-2024-23256)
适用于:iPhone XS 及更新机型、iPad Pro 12.9 寸第2 代及更新机型、iPad Pro 10.5 寸、iPad Pro 11 寸第1 代及更新机型、iPad Air 第3 代及更新机型、iPad第6 代及更新机型以及iPad mini第五代及以后
影响:启用锁定隐私浏览后,切换选项卡组时用户锁定的选项卡可能会短暂可见
修正方式:通过改进状态管理解决了逻辑问题。
无障碍漏洞(CVE-2024-23243)
适用于:iPhone XS 及更新机型、iPad Pro 12.9 寸第2 代及更新机型、iPad Pro 10.5 寸、iPad Pro 11 寸第1 代及更新机型、iPad Air 第3 代及更新机型、iPad第6 代及更新机型以及iPad mini第五代及以后
影响:应用或许能够读取敏感位置信息
修正方式:通过改进日志条目的私人资料编辑解决了隐私问题。