蘋果於周三(1/26)釋出macOS Monterey 12.2、 iOS 15.3、iPadOS 15.3、tvOS 15.3及watchOS 8.4,以修補安全漏洞,包含日前被揭露的、允許駭客存取瀏覽器機密資訊的Safari 15漏洞CVE-2022-22594。

由於蘋果各作業系統的同質性高,因而各平臺的安全更新都修補了不少同樣的安全漏洞,例如此次它們一起修補了藏匿在Safari 15中的CVE-2022-22594、CVE-2022-22589、CVE-2022-22592與CVE-2022-22590,以及出現在ColorSync的CVE-2022-22584、Crash Reporter中的CVE-2022-22578、涉及iCloud的CVE-2022-22585,與Kernel中的CVE-2022-22593,總計8個同樣的漏洞。

至於macOS Monterey 12.2則額外修補位於AMD Kernel、Intel Graphics Driver、IOMobileFrameBuffer、Model I/O及PackageKit中的安全漏洞,其中IOMobileFrameBuffer的CVE-2022-22587漏洞屬重大漏洞,iOS 15.3與iPadOS 15.3額外修補了IOMobileFrameBuffer與Model I/O漏洞,tvOS 15.3亦額外修補Model I/O漏洞。

最受外界矚目的是日前被資安業者FingerprintJS披露的CVE-2022-22594

根據FingerprintJS的解釋,Safari 15不當地建置IndexedDB API,而讓Safari用戶所造訪的任何網站都能追蹤使用者的行為,甚至得知使用者的真實身分。

IndexedDB為一客戶端儲存的瀏覽器API,可用來存放大量資料,它支援所有主要的瀏覽器,也遵循同源政策,然而,應用在蘋果所有平臺上的Safari 15瀏覽器中的IndexedDB API卻違反了同源政策,使得使用者所造訪的網站可得知其它其它視窗或分頁的網站,甚至能夠得知Google替使用者建立的User ID,利用此一User ID再去尋找其它的個人資料。

其實蘋果此次修補的安全漏洞中,不乏影響更嚴重的遠端程式攻擊漏洞,儘速更新作業系統才是上策。


熱門新聞

Advertisement