IT之家 12 月 12 日消息，蘋(píng)果公司今天(12 月 12 日)發(fā)布 iOS / iPadOS 18.2 以及 macOS 15.2 Sequoia 更新之外，還面向無(wú)法升級(jí)到 iPadOS 18 的 iPad 產(chǎn)品，發(fā)布了 iPadOS 17.7.3 更新(內(nèi)部版本號(hào) 21H312)。

蘋(píng)果關(guān)閉 iOS / iPadOS 17.7 驗(yàn)證通道，已升級(jí)用戶(hù)無(wú)法降級(jí)。此外有消息稱(chēng)蘋(píng)果已停止 iOS 17.x 版本更新，17.7.2 將是其最后一個(gè)版本。 IT之家援引蘋(píng)果官方安全更新頁(yè)面，iPadOS 17.7.3 更新主要適用于 12.9 英寸 iPad Pro(第二代)、10.5 英寸 iPad Pro 和第六代 iPad，修復(fù)了包括字體、圖像處理、內(nèi)存管理、內(nèi)核安全等多個(gè)方面的漏洞，惡意攻擊者可能利用這些漏洞竊取進(jìn)程內(nèi)存、導(dǎo)致系統(tǒng)崩潰或拒絕服務(wù)，甚至執(zhí)行任意代碼。

　　本次安全更新主要涉及以下幾個(gè)方面：

　　內(nèi)存泄漏風(fēng)險(xiǎn)：

　　處理惡意制作的字體或圖像可能導(dǎo)致進(jìn)程內(nèi)存泄漏(CVE-2024-54486、CVE-2024-54500)。

　　蘋(píng)果通過(guò)改進(jìn)檢查機(jī)制解決了這些問(wèn)題。

　　內(nèi)存安全問(wèn)題：

　　攻擊者可能創(chuàng)建可寫(xiě)的只讀內(nèi)存映射(CVE-2024-54494)、應(yīng)用程序可能泄露敏感內(nèi)核狀態(tài)(CVE-2024-54510)、應(yīng)用程序可能導(dǎo)致系統(tǒng)意外終止或內(nèi)核內(nèi)存損壞(CVE-2024-44245)、處理惡意文件可能導(dǎo)致拒絕服務(wù)(CVE-2024-44201、CVE-2024-54501)。

　　蘋(píng)果分別通過(guò)額外的驗(yàn)證、改進(jìn)鎖定機(jī)制、改進(jìn)內(nèi)存處理以及改進(jìn)檢查機(jī)制解決了這些問(wèn)題。

　　權(quán)限提升及網(wǎng)絡(luò)安全問(wèn)題：

　　應(yīng)用程序可能獲得提升的權(quán)限(CVE-2024-44225)、特權(quán)網(wǎng)絡(luò)位置的攻擊者可能篡改網(wǎng)絡(luò)流量(CVE-2024-54492)、在啟用 iCloud 私人中繼的情況下，將網(wǎng)站添加到 Safari 閱讀列表可能泄露原始 IP 地址(CVE-2024-44246)。

　　蘋(píng)果分別通過(guò)改進(jìn)檢查機(jī)制、使用 HTTPS 傳輸信息以及改進(jìn) Safari 請(qǐng)求路由解決了這些問(wèn)題。

　　其他安全問(wèn)題：

　　物理接觸 iPadOS 設(shè)備的攻擊者可能查看鎖屏通知內(nèi)容(CVE-2024-54485)、處理惡意網(wǎng)頁(yè)內(nèi)容可能導(dǎo)致進(jìn)程崩潰(CVE-2024-54479、CVE-2024-54505)。

　　蘋(píng)果通過(guò)添加額外邏輯、改進(jìn)檢查機(jī)制以及改進(jìn)內(nèi)存處理解決了這些問(wèn)題。