煕煕姸姸 26-05-12 10:31
微博认证:数码博主 超话小主持人(Apple超话)

周一,Apple为仍运行旧版系统的iPhone、iPad和Mac推送了重要安全更新,修复了与网页渲染引擎、内核权限、无线网络以及沙箱逃逸相关的高危系统漏洞。

Apple于5月11日集中发布了一轮安全更新,为iOS、iPadOS和macOS的现行版本与历史旧版本漏洞完成修补。本次推送的版本包含:macOS Tahoe 26.5、macOS Sequoia 15.7.7、macOS Sonoma 14.8.7、iOS 18.7.9、iPadOS 18.7.9、iPadOS 17.7.11、iOS 16.7.16以及iOS 15.8.8。

官方发布的详细安全公告说明,此次漏洞涉及系统内核、网页渲染引擎、无线网络、沙箱防护、隐私机制及文件处理框架等多个层面。即便是发布超过十年、无法搭载最新系统的iPhone、iPad和Mac设备,Apple仍在持续推送安全补丁。

现行最新系统版本在本轮更新中获得了数量最多的安全修复。以macOS Tahoe 26.5为例,此次修补涵盖权限提升、沙箱逃逸、拒绝服务攻击、安全机制绕过、内核层级任意代码执行以及用户敏感数据泄露等各类漏洞。

iOS 18.7.9与iPadOS 18.7.9修复了大量影响iPhone XR、iPhone XS、iPhone XS Max以及iPad第7代的安全隐患,涉及网页渲染引擎、智能语音助手、邮件草稿、应用意图、无线网络、多播域名响应服务、启动服务以及多项内核组件相关漏洞。

Apple同时修补了一批可让应用获取更高系统权限、突破沙箱限制或是读取受保护用户信息的安全缺陷。

所有安全公告均未提及这些已修复漏洞正被外界实际利用。若发现攻击者已利用漏洞针对用户发起攻击,Apple通常会在公告中作出明确警示,而本轮最新更新中并未出现相关提示。

网页渲染引擎是本次安全更新的核心修复对象之一。该引擎为Safari浏览器、App Store预览界面、应用内置浏览器以及iOS和macOS中大量网页视图提供底层支持。

Apple修补了多项网页渲染引擎漏洞,这些漏洞可能绕过内容安全防护规则、泄露用户隐私数据、造成Safari进程崩溃,或是被恶意网页内容利用引发内存损坏问题。同时,iOS、iPadOS和macOS均针对系统内核进行了大规模漏洞修复。

相关补丁解决了root权限提升、内核内存信息泄露、整数溢出、越界写入、竞态条件,以及恶意磁盘镜像、压缩包绕过系统安全机制等高危隐患。

网络与无线模块也完成多项重要修复:修补了一处无线网络漏洞,该漏洞可通过越界写入实现内核权限下的任意代码执行;同时修复了恶意无线网络数据包、多播域名响应服务网络流量引发的拒绝服务故障。

此外,Apple还修补了可枚举已安装应用、绕过应用隐私报告限制、追踪IP地址、擅自访问通讯录、借助相机元数据泄露实现录屏采集,以及多处沙箱逃逸相关漏洞。

专属维护更新仍在为老旧设备延续安全支持。Apple并未在设备无法适配最新系统分支后终止维护,而是持续为iPadOS 17、iOS 16、iOS 15单独推送更新版本。

iPadOS 17.7.11适配iPad第6代、10.5英寸iPad Pro以及12.9英寸iPad Pro第2代,该版本仅包含一项通知服务修复,解决已删除通知仍会意外留存于设备本地存储的问题。

更多老旧机型也获得版本更新:iOS 16.7.16与iPadOS 16.7.16适配iPhone X、12.9英寸iPad Pro第1代等设备;iOS 15.8.8与iPadOS 15.8.8则将安全支持延伸至更早机型,包括iPhone 6s、iPhone 6s Plus、iPhone 7、iPhone 7 Plus、iPhone SE第1代、iPad Air第2代以及iPad mini第4代。

以上两个历史系统分支,均修复了同一则已删除通知异常留存的通知服务漏洞。安全公告中的漏洞研究署名,也体现出网络安全行业的协作变化。

本轮更新中,Apple收录了来自谷歌威胁分析团队、谷歌零项目、帕洛阿尔托网络、趋势零日计划以及多家独立安全机构研究员的漏洞贡献。macOS Tahoe 26.5中的一处内核漏洞,标注由Calif.io联合Claude与Anthropic研究院共同发现。

本轮修复的多数漏洞集中于浏览器引擎、无线网络、应用隔离机制以及系统底层核心组件。网页渲染引擎、无线网络和内核层面的隐患,会直接影响整机系统的基础安全防护能力。

用户应尽快安装本次系统更新,并重启设备,确保内核与网络相关补丁完全生效。Apple同时建议,避免安装非可信应用、未知配置描述文件、可疑链接、无安全防护的无线网络,以及来路不明的文件下载。

本次修补的多项漏洞,可被恶意网页内容、特制文件利用,进而实现权限提升与沙箱逃逸攻击。

Safari及系统内置浏览器的更新尤为关键,网页渲染引擎的应用场景早已超出Safari本身,覆盖Apple生态大量软件服务。对于已停止安全更新支持的老旧设备,不建议用于网银、密码管理、个人数据存储等敏感操作。

发布于 浙江
首页
导航
反馈
登录