Apple 發布了 macOS 的重要更新,以修復幾個零日漏洞。這些安全補丁也適用於 iPhone 和 iPad。
基於 Intel 的 Mac 成為安全攻擊的目標
macOS Sequoia 15.1.1 更新包括 2 個安全修復程序,這兩個修復程序都會影響 Safari。這些漏洞是由 Google 威脅分析小組的兩名安全專家 Clément Lecigne 和 Benoît Sevens 發現的。他們向蘋果公司報告了他們的發現,蘋果公司證實該公司意識到這些問題可能已被黑客積極利用。有關襲擊的細節尚未透露。
參見:Mulvad VPN 審核:發現並修復的漏洞數量很少,受到好評
根據安全發布在公司門戶頁面上,第一個補丁是針對 CVE-2024-44308 下跟踪的問題,並且與 JavaScriptCore 相關。該漏洞允許處理惡意 Web 內容,從而可能導致任意代碼執行。該錯誤已通過改進檢查得到解決。
第二個漏洞在 CVE-2024-44309 下進行跟踪,並影響 WebKit。此問題可能允許網頁上的惡意內容髮起跨站點腳本攻擊。 Apple 將該錯誤確定為 cookie 管理問題,並通過改進狀態管理對其進行了修補。
現在,安全修復程序並不是 Intel-Mac 所獨有的,儘管這些問題本身就在這些機器上被利用了。由於 Safari 中存在漏洞,其他設備也可能容易受到攻擊,這就是為什麼所有支持 macOS Sequoia 的 Mac 都包含這些補丁的原因。安全更新也已針對在 Ventura 和 Sonoma 上運行的舊款 Mac 發布,但不是作為操作系統更新。相反,蘋果發布了瀏覽器更新來修補舊系統上的漏洞,並將版本號提高到 Safari 18.1.1。
macOS Sequoia 仍然支持相當多的 Intel Mac,其中包括 2017 iMac Pro、2018 Mac mini、2018 MacBook Pro、2019 iMac、2019 MacBook Pro、2020 iMac、2020 MacBook Air 和 2019 Mac Pro。蘋果於 2020 年開始改用 Apple Silicon 芯片,並開始逐步淘汰英特爾型號。庫比蒂諾公司於 2023 年停止銷售英特爾 Mac,其中最後一款停產的設備是 Mac Pro。
iOS 和 iPadOS 的安全修復
這些補丁還可以通過 VisionOS 2.1.1 更新(適用於 Vision Pro)、iOS 18.1.1(適用於 iPhone XS 及更高版本)以及 iPadOS 18.1.1(適用於 iPad Pro 13 英寸、iPad Pro 12.9 英寸第 3 代及更高版本、iPad Pro 11 英寸第 1 代及更高版本、iPad Air 第 3 代及更高版本、iPad 第 7 代及更高版本以及 iPad mini 第 5 代及更高版本)提供。使用 iOS 17 和 iPadOS 17 的用戶還可以通過 iOS 17.7.2(iPhone XS 及更高版本)和 iPadOS 17.7.2(所有上述 iPad,以及 iPad 第六代)獲取安全更新。
建議盡快更新您的 Mac、iPhone 和 iPad,以保護其免受漏洞影響。
為什麼這些零日威脅不通過快速安全響應系統進行更新可能看起來很奇怪,畢竟它的設計目的是通過小更新和系統重新啟動來快速應對威脅。蘋果僅使用了 RSR 系統兩次,去年 5 月該公司發布 iOS 16.4.1、iPadOS 16.4.1 和 macOS 13.1.1 Ventura 的 RSR 更新時,該系統似乎運行良好。但是,2023 年 7 月發布的 iOS 16.5.1、iPadOS 16.5.1 和 macOS 13.4.1 RSR 更新存在缺陷,並且破壞了與許多網站的兼容性,導致它們無法使用,蘋果不得不匆忙撤回更新。從那時起我們就沒有看到任何 RSR 更新。