蘋果修補macOS、iOS WebKit程式碼執行漏洞
蘋果周二(1/24)公布i及 ,以修補WebKit、核心、以及Intel驅動程式內的程式碼執行等多項漏洞,呼籲用戶應儘速更新。
iOS 16.3、iPadOS 16.3修補了4項程式碼執行漏洞,其中3項位於舊版OS的WebKit。CVE-2023-23496和處理網頁載入檢查不足有關,CVE-2023-2351、CVE-2023-23518則出於記憶體處理不當,這3個漏洞都會使WebKit處理惡意網頁內容時,面臨任意程式碼攻擊。第4項漏洞CVE-2023-23504則是位於iOS 16.2及iPadOS 16.2及macOS 13.1以前的核心,出在記憶體處理不當,使惡意App得以透過核心權限執行任意程式碼。
macOS 13.2除了前述4個漏洞,還修補了2項程式碼執行瑕疵。Intel顯卡的CVE-2023-23507,能使惡意App以核心權限執行任意程式碼。Samba網路芳鄰共享中的程式碼執行漏洞編號為CVE-2023-23513。
其次,iOS 16.3、iPadOS 16.3及macOS Ventura 13.2也修補了Safari二項漏洞,其中CVE-2023-23510讓App存取Safari的上網記錄,CVE-2023-23512可在瀏覽器造訪惡意網頁時,導致阻斷服務(Denial of Service, DoS)攻擊。ImageIO元件中的CVE-2023-23519,可在處理惡意圖片時引發記憶體毁損,造成阻斷服務。
macOS Ventura更新並修補了一項重要漏洞,為影響Packagekit的CVE-2023-23497,屬於狀態管理的邏輯問題,可允許惡意App得以取得root權限。而CVE-2023-23493可在不輸入密碼情況下將用戶的加密磁碟(volume)掛載到攻擊者帳號下,造成資料竊取。
這波更新還分別修補了影響iOS、iPadOS及macOS Ventura中的多項資訊洩露漏洞,影響Maps、Weather、螢幕時間(Screen Time)以及OS核心等元件。
蘋果最新OS更新,Apple ID開始可以用實體金鑰進行雙因素驗證了
pple釋出最新裝置的作業系統更新,包括iOS 16.3、iPadOS 16.3與macOS Ventura 13.2,讓iPhone、iPad和Mac用戶能夠添加安全金鑰保護Apple ID。啟用該功能的用戶,登入Apple ID除了需要輸入的密碼之外,還需要實體金鑰作為驗證的第二因素,才能在新裝置或是網路上登入。
Apple ID安全金鑰雙因素驗證是一項進階安全功能,對需要避免針對性攻擊的人士提供額外保護。之前Apple所提供的雙因素驗證,需要使用者輸入Apple ID之後,再次輸入已認證裝置上顯示的6位驗證碼,作為第二驗證因素,而現在使用者可以使用實體金鑰代替6位數驗證碼,官方提到,安全金鑰可以強化雙因素身分驗證過程,消除用戶的第二驗證因素被攻擊者攔截或是請求的風險。
Apple的,用戶至上要有2個FIDO認證的安全金鑰,在相容軟體的Apple裝置上,添加並維護至少2個安全金鑰,而最多可以添加6個,Apple裝置需要升級到iOS 16.3、iPadOS 16.3、macOS Ventura 13.3或更高版本。原則上當前的瀏覽器多數都已經支援FIDO安全金鑰,因此也可以用於登入受安全金鑰保護的Apple ID,當用戶無法登入,則可以嘗試更新或是安裝其他瀏覽器。
官方推薦的安全金鑰,包括適用於大多數Mac和iPhone機型的YubiKey 5C NFC和YubiKey 5Ci,以及適用於舊款Mac和大多數iPhone機型的FEITAN ePass K9 NFC USB-A。不過只要選擇經過FIDO認證,並且具有連接器能夠和Apple裝置搭配使用的金鑰,也都能夠使用。
Apple ID實體安全金鑰無法用來登入Windows版iCloud,不支援無法更新到支援安全金鑰軟體版本的舊裝置,不支援兒童帳戶和管理式ID,也不支援和家庭成員iPhone配對的Apple Watch。
值得注意的是,一旦Apple ID設置使用實體安全金鑰,之後要登入Apple Watch、Apple TV或HomePod,就需要使用裝有支援安全金鑰軟體版本的iPhone或iPad。而且在設置的過程,用戶擁有的所有未活躍裝置都會被登出,要重新登入這些裝置,就需要將這些裝置更新至相容安全金鑰的版本,當用戶的裝置已經無法更新至支援的新版本,那該裝置便無法重新登入。
