IT之家 12 月 12 日消息,苹果公司今天(12 月 12 日)发布 iOS / iPadOS 18.2 以及 macOS 15.2 Sequoia 更新之外,还面向无法升级到 iPadOS 18 的 iPad 产品,发布了 iPadOS 17.7.3 更新(内部版本号 21H312)。
本次安全更新主要涉及以下几个方面:
内存泄漏风险:
处理恶意制作的字体或图像可能导致进程内存泄漏(CVE-2024-54486、CVE-2024-54500)。
苹果通过改进检查机制解决了这些问题。
内存安全问题:
攻击者可能创建可写的只读内存映射(CVE-2024-54494)、应用程序可能泄露敏感内核状态(CVE-2024-54510)、应用程序可能导致系统意外终止或内核内存损坏(CVE-2024-44245)、处理恶意文件可能导致拒绝服务(CVE-2024-44201、CVE-2024-54501)。
苹果分别通过额外的验证、改进锁定机制、改进内存处理以及改进检查机制解决了这些问题。
权限提升及网络安全问题:
应用程序可能获得提升的权限(CVE-2024-44225)、特权网络位置的攻击者可能篡改网络流量(CVE-2024-54492)、在启用 iCloud 私人中继的情况下,将网站添加到 Safari 阅读列表可能泄露原始 IP 地址(CVE-2024-44246)。
苹果分别通过改进检查机制、使用 HTTPS 传输信息以及改进 Safari 请求路由解决了这些问题。
其他安全问题:
物理接触 iPadOS 设备的攻击者可能查看锁屏通知内容(CVE-2024-54485)、处理恶意网页内容可能导致进程崩溃(CVE-2024-54479、CVE-2024-54505)。
苹果通过添加额外逻辑、改进检查机制以及改进内存处理解决了这些问题。