不要等待更新:iOS 18 引入了关键的安全修复

阅读约需 5 分钟

Apple 的 iOS 18 和 iPadOS 18 引入了各种不同的安全改进和修复。以下是您需要了解的内容,以及为什么您应该考虑立即更新。

周一,苹果发布了最新的操作系统 iOS 18 和 iPadOS 18,使它们终于向公众开放。虽然更新本身引入了各种新功能,但它们还包含许多重要的安全修复程序。

与每次重大 iOS 更新一样,iOS 18 修复了与操作系统不同功能和方面相关的核心安全问题。周一推出的许多修复程序可防止攻击者、应用程序和未经授权的用户访问敏感的用户信息,例如联系方式或照片。

iOS 18 引入了不同的与辅助功能相关的安全修复程序。这些现已修补的与辅助功能相关的漏洞为攻击者提供了对锁定设备进行物理访问的方式,从而访问敏感用户数据。

iOS 18 与辅助功能相关的安全修复

上述可访问性漏洞之一允许攻击者使用 Siri 作为收集敏感数据的手段,而另一个漏洞则允许攻击者通过可访问性功能控制附近的设备。苹果通过“改进的状态管理”修复了这两个安全问题。

另一个安全问题使攻击者可以使用辅助访问来查看最近的照片而无需进行身份验证。 Apple 通过限制锁定设备上提供的选项,在 iOS 18 中解决了此辅助功能漏洞。

iOS 18 中的安全修复可确保您的数据安全

控制中心修复了一个安全问题,该问题允许应用程序录制屏幕而不在状态栏中显示正确的指示符,这意味着用户可能不知道他们的屏幕已被录制。苹果通过使用“改进的检查”解决了这个安全问题。

FileProvider 和 Game Center 都存在安全问题,允许应用程序访问敏感的用户数据。 Apple 通过改进符号链接验证解决了 iOS 18 中的 FileProvider 问题,并通过改进验证修复了 Game Center 的文件访问问题。

控制中心已升级并已修复已知漏洞

鲁道夫·布鲁内蒂 (Rodolphe Brunetti) 发现,邮件应用程序中存在隐私问题,这意味着应用程序能够访问用户的联系信息。苹果通过“改进日志条目的私人数据编辑”解决了这个问题。

Offective Security 的 Csaba Fitzl 发现的沙箱安全问题允许应用程序泄露敏感的用户信息。 iOS 18 通过使用改进的数据保护解决了这个问题。同样,透明度权限问题允许应用程序访问敏感的用户数据。苹果通过额外的限制解决了这个问题。

iOS 18 的安全功能可防止拒绝服务攻击

一些现已修补的漏洞允许不良行为者执行所谓的拒绝服务或 DoS 攻击。

mDNSresponder 的问题意味着应用程序能够导致拒绝服务,而 ImageIO 和 ModelI/O 问题意味着处理图像可能会导致拒绝服务。远程攻击者还能够通过之前未修补的蜂窝安全问题造成拒绝服务。

iOS 18 通过改进的错误处理解决了 mDNSResponder 逻辑错误,同时通过改进的状态管理解决了蜂窝问题。改进的边界检查修复了 ImageIO 问题,而 ModelI/O 安全问题则由第三方处理,因为它涉及开源软件。

iOS 18 中与 Web 和网络相关的安全修复

Safari 收到了由 Kenneth Chew 和 Anamika Adhikari 发现的两个单独漏洞的补丁,这两个漏洞都允许在未经事先身份验证的情况下访问隐私浏览选项卡。 Apple 通过改进状态管理在 iOS 18 和 iPadOS 18 中修复了这两个安全问题。

iOS 18 中还修复了两个与恶意网页内容相关的 WebKit 漏洞。其中一个安全问题允许恶意网站跨源窃取数据,而另一个安全问题意味着处理恶意制作的网页内容可能会导致通用跨站脚本。后者是通过改进状态管理来解决的,而前者是通过“改进安全源跟踪”来解决的。

同样,libxml2 安全问题意味着处理恶意 Web 内容可能会导致意外的进程崩溃。对于这个问题,Apple 通过改进输入验证解决了整数溢出问题。

iOS 18 也修复了与 WiFi 相关的安全问题。现已解决的安全问题允许攻击者强制设备与安全网络断开连接。苹果通过“信标保护”在 iOS 18 中修复了这个完整性问题。

iOS 18 为 Safari 引入了新的阅读器视图,但也添加了一些关键的安全修复。

Andrew Lytvynov 向 Apple 通报了一个与内核相关的单独逻辑问题,该问题导致网络流量泄漏到 VPN 隧道之外。苹果通过“改进的检查”解决了这个逻辑问题。

同样,网络扩展问题允许应用程序未经授权访问设备的本地网络。与此列表中的许多其他安全问题一样,Apple 通过改进状态管理解决了此问题。

Siri 还获得了两项重要的安全修复。其中一个解决了以前允许应用程序访问敏感用户信息的漏洞。另一个修复程序可防止具有物理访问权限的攻击者通过锁定屏幕查看用户的联系人。

蓝牙和其他 iOS 18 安全修复

几位研究人员报告了一个与内核相关的安全问题,该问题导致应用程序未经授权即可访问蓝牙功能。与前面提到的 Safari 漏洞一样,该问题是通过“改进的状态管理”解决的。

另一个与蓝牙相关的问题允许恶意蓝牙输入设备绕过配对。改进的状态管理在 iOS 18 中修复了此问题。

UIKit 收到了安全修复程序,该修复程序解决了之前允许攻击者导致应用程序意外终止的漏洞。 Apple 通过改进边界检查在 iOS 18 中解决了这个问题。

iOS 18 和 iPadOS 18 的安全更新和修复的完整列表可以在 Apple 的安全网站上查看。除了已经提到的安全修复之外,Apple 还解决了与 IOSurfaceAccelerator、笔记、打印等相关的各种其他问题。

始终保持操作系统最新非常重要,因为 Apple 最新的安全修复程序可确保不良行为者更难获取您的私人用户数据。

免责声明
部分内容(图片、文章)翻译/转载自国内外资讯/自媒体平台。文中内容不代表本站立场,如有侵权或其它,请联系 macmao.com@gmail.com,我们会第一时间配合删除。(转载请注明来源自:www.macmao.com)