蘋果發(fā)布 iPadOS 17.7.3 更新，修復多個高危漏洞

IT之家 12 月 12 日消息，蘋果公司今天（12 月 12 日）發(fā)布 iOS / iPadOS 18.2 以及 macOS 15.2 Sequoia 更新之外，還面向無法升級到 iPadOS 18 的 iPad 產品，發(fā)布了 iPadOS 17.7.3 更新（內部版本號 21H312）。

蘋果關閉 iOS / iPadOS 17.7 驗證通道，已升級用戶無法降級。此外有消息稱蘋果已停止 iOS 17.x 版本更新，17.7.2 將是其最后一個版本。

IT之家援引蘋果官方安全更新頁面，iPadOS 17.7.3 更新主要適用于 12.9 英寸 iPad Pro（第二代）、10.5 英寸 iPad Pro 和第六代 iPad，修復了包括字體、圖像處理、內存管理、內核安全等多個方面的漏洞，惡意攻擊者可能利用這些漏洞竊取進程內存、導致系統(tǒng)崩潰或拒絕服務，甚至執(zhí)行任意代碼。

本次安全更新主要涉及以下幾個方面：

內存泄漏風險：

處理惡意制作的字體或圖像可能導致進程內存泄漏（CVE-2024-54486、CVE-2024-54500）。

蘋果通過改進檢查機制解決了這些問題。

內存安全問題：

攻擊者可能創(chuàng)建可寫的只讀內存映射（CVE-2024-54494）、應用程序可能泄露敏感內核狀態(tài)（CVE-2024-54510）、應用程序可能導致系統(tǒng)意外終止或內核內存損壞（CVE-2024-44245）、處理惡意文件可能導致拒絕服務（CVE-2024-44201、CVE-2024-54501）。

蘋果分別通過額外的驗證、改進鎖定機制、改進內存處理以及改進檢查機制解決了這些問題。

權限提升及網絡安全問題：

應用程序可能獲得提升的權限（CVE-2024-44225）、特權網絡位置的攻擊者可能篡改網絡流量（CVE-2024-54492）、在啟用 iCloud 私人中繼的情況下，將網站添加到 Safari 閱讀列表可能泄露原始 IP 地址（CVE-2024-44246）。

蘋果分別通過改進檢查機制、使用 HTTPS 傳輸信息以及改進 Safari 請求路由解決了這些問題。

其他安全問題：

物理接觸 iPadOS 設備的攻擊者可能查看鎖屏通知內容（CVE-2024-54485）、處理惡意網頁內容可能導致進程崩潰（CVE-2024-54479、CVE-2024-54505）。

蘋果通過添加額外邏輯、改進檢查機制以及改進內存處理解決了這些問題。

廣告聲明：文內含有的對外跳轉鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結果僅供參考，IT之家所有文章均包含本聲明。