Odaily星球日報訊安全公司卡巴斯基發現iOS和macOS操作系統存在安全漏洞,對用戶構成重大風險,包括在iOS錢包中持有數字資產的用戶。其中一個漏洞允許網絡犯罪分子通過攔截網絡流量來訪問機密用戶數據,而另一個漏洞允許惡意軟件繞過蘋果的安全措施並獲得root訪問權限。第一個漏洞被稱為CVE-2023-28205,與支持Safari瀏覽器和其他應用程序的WebKit引擎有關。此漏洞使攻擊者能夠通過將用戶引導到特製的惡意網頁來在設備上執行任意代碼。第二個漏洞CVE-2023-28206是在IOSurfaceAccelerator對像中發現的,攻擊者可以利用它來執行具有系統內核權限的代碼。通過結合這兩個漏洞,網絡犯罪分子可以滲透設備並隨後逃離安全沙箱,從而幾乎完全控制受感染的設備。桌面macOS操作系統和移動平台(包括iOS、iPadOS和tvOS)都受到這些漏洞的影響。蘋果已經發布了各種系統的更新,包括macOS 11、12和13、iOS/iPadOS 15和16,以及tvOS 16,以解決這些漏洞。據悉,WebKit引擎是蘋果移動操作系統所允許的唯一瀏覽器引擎。不管iPhone上使用的是哪種瀏覽器,WebKit仍然負責渲染網頁,有效地使所有iOS瀏覽器類似於Safari。此外,WebKit用於在其他應用程序中打開網頁。有時,即使它看起來不是一個網頁,WebKit仍然參與顯示。因此,及時安裝Safari相關的更新是至關重要的,即使對於主要依賴Google Chrome或Mozilla Firefox等替代瀏覽器的用戶也是如此。 (U.Today)
dark
