圖片來源: 

蘋果

蘋果周末緊急釋出更新版iOS及iPadOS、watchOS,以修補一個已被開採的漏洞。

本波釋出的是iOS 14.4.2及iPadOS 14.4.2,以及watchOS 7.3.3版。此外,蘋果也針對舊版iOS產品,釋出了iOS 12.5.2 。這波更新主要修補的是CVE-2021-1879,影響Safari的核心引擎WebKit。這項漏洞可在用戶Safari瀏覽器存取惡意網頁內容時,觸發統合式跨網站指令碼(universal cross-site scripting,UXSS)。

蘋果並未詳細說明。但根據安全公司Acunetix掌握的資訊,所謂UXSS類似跨網站指令碼(XSS)攻擊,但XSS攻擊的是Web應用及網站漏洞,UXSS攻擊目標則在瀏覽器或瀏覽器外掛的漏洞上。此類漏洞遭到開採時會影響瀏覽器行為,也會繞過或關閉安全功能,造成攻擊者得以存取同時間內由瀏覽器開啟(或快取)的其他網頁內容,或是執行惡意程式。

這次WebKit上的漏洞,是由Google威脅分析小組的Clement Lecigne和Billy Leonard所發現。蘋果指出,該公司得知已有針對這項漏洞的開採行動。

蘋果已經改善WebKit上對物件存留期(lifetime)的管理,以解決這項漏洞。

這次更新將會發送到iPhone 6S以上、iPad Pro所有機種、iPad Air2及第5代iPad 、iPad mini 4及iPod Touch 7以上的機種。iOS 12.5.2影響產品則包括iPhone 5S、iPhone 6/ 6 Plus、iPad Air、iPad mini 2、3及iPod touch 6。蘋果也呼籲用戶儘早更新。

熱門新聞

Advertisement