Apple Vision Pro出貨前夕，蘋果修補visionOS零時差漏洞

Apple Vision Pro第一批訂單即將出貨之際，蘋果釋出visionOS 1.0.2，修補一個可能已遭到濫用的漏洞。

訂價3,499美元起跳的Vision Pro於1月21日開放在美預購，預計本周五（2/2）出貨第一批。不過首波較晚預購者，必須再等5到6周才領得到貨。

修補的漏洞編號CVE-2023-23222，為一型態混淆漏洞，出在瀏覽器引擎WebKit特定元件對惡意內容驗證不足。攻擊者可設立惡意網頁，誘使受害者以Safari瀏覽器造訪，進而在Vision Pro上執行任意程式碼。蘋果表示，已接獲通報漏洞遭到濫用。

更新版強化對網頁內容的檢查。對開發人員而言，修補程式已包含在visionOS 1.0.1版本釋出，但一般消費者則會獲得visionOS 1.0.2，他們必須在開始使用Vision Pro之前，先從visionOS 1.0升級到visionOS 1.0.2。

CVE-2024-23222也影響iPhone、iPad、Mac電腦及Apple TV。上周蘋果已釋出iOS 17.3、ipadOS 17.3、macOS 14.3及tvOS 17.3，解決包含CVE-2024-23222在內的多項漏洞。

這波針對WebKit的攻擊背後策動者為誰，攻擊目標與理由為何，以及本漏洞由誰發現，蘋果皆未說明。