IT之家 12 月 12 日消息，蘋果公司今天(12 月 12 日)發(fā)布 iOS / iPadOS 18.2 以及 macOS 15.2 Sequoia 更新之外，還面向無法升級到 iPadOS 18 的 iPad 產(chǎn)品，發(fā)布了 iPadOS 17.7.3 更新(內(nèi)部版本號 21H312)。

蘋果關(guān)閉 iOS / iPadOS 17.7 驗證通道，已升級用戶無法降級。此外有消息稱蘋果已停止 iOS 17.x 版本更新，17.7.2 將是其最后一個版本。 IT之家援引蘋果官方安全更新頁面，iPadOS 17.7.3 更新主要適用于 12.9 英寸 iPad Pro(第二代)、10.5 英寸 iPad Pro 和第六代 iPad，修復(fù)了包括字體、圖像處理、內(nèi)存管理、內(nèi)核安全等多個方面的漏洞，惡意攻擊者可能利用這些漏洞竊取進(jìn)程內(nèi)存、導(dǎo)致系統(tǒng)崩潰或拒絕服務(wù)，甚至執(zhí)行任意代碼。

　　本次安全更新主要涉及以下幾個方面：

　　內(nèi)存泄漏風(fēng)險：

　　處理惡意制作的字體或圖像可能導(dǎo)致進(jìn)程內(nèi)存泄漏(CVE-2024-54486、CVE-2024-54500)。

　　蘋果通過改進(jìn)檢查機制解決了這些問題。

　　內(nèi)存安全問題：

　　攻擊者可能創(chuàng)建可寫的只讀內(nèi)存映射(CVE-2024-54494)、應(yīng)用程序可能泄露敏感內(nèi)核狀態(tài)(CVE-2024-54510)、應(yīng)用程序可能導(dǎo)致系統(tǒng)意外終止或內(nèi)核內(nèi)存損壞(CVE-2024-44245)、處理惡意文件可能導(dǎo)致拒絕服務(wù)(CVE-2024-44201、CVE-2024-54501)。

　　蘋果分別通過額外的驗證、改進(jìn)鎖定機制、改進(jìn)內(nèi)存處理以及改進(jìn)檢查機制解決了這些問題。

　　權(quán)限提升及網(wǎng)絡(luò)安全問題：

　　應(yīng)用程序可能獲得提升的權(quán)限(CVE-2024-44225)、特權(quán)網(wǎng)絡(luò)位置的攻擊者可能篡改網(wǎng)絡(luò)流量(CVE-2024-54492)、在啟用 iCloud 私人中繼的情況下，將網(wǎng)站添加到 Safari 閱讀列表可能泄露原始 IP 地址(CVE-2024-44246)。

　　蘋果分別通過改進(jìn)檢查機制、使用 HTTPS 傳輸信息以及改進(jìn) Safari 請求路由解決了這些問題。

　　其他安全問題：

　　物理接觸 iPadOS 設(shè)備的攻擊者可能查看鎖屏通知內(nèi)容(CVE-2024-54485)、處理惡意網(wǎng)頁內(nèi)容可能導(dǎo)致進(jìn)程崩潰(CVE-2024-54479、CVE-2024-54505)。

　　蘋果通過添加額外邏輯、改進(jìn)檢查機制以及改進(jìn)內(nèi)存處理解決了這些問題。