蘋果修補macOS、iOS WebKit程式碼執行漏洞

蘋果周二（1/24）公布iOS 16.3、iPadOS 16.3及macOS Ventura 13.2 ，以修補WebKit、核心、以及Intel驅動程式內的程式碼執行等多項漏洞，呼籲用戶應儘速更新。

iOS 16.3、iPadOS 16.3修補了4項程式碼執行漏洞，其中3項位於舊版OS的WebKit。CVE-2023-23496和處理網頁載入檢查不足有關，CVE-2023-2351、CVE-2023-23518則出於記憶體處理不當，這3個漏洞都會使WebKit處理惡意網頁內容時，面臨任意程式碼攻擊。第4項漏洞CVE-2023-23504則是位於iOS 16.2及iPadOS 16.2及macOS 13.1以前的核心，出在記憶體處理不當，使惡意App得以透過核心權限執行任意程式碼。

macOS 13.2除了前述4個漏洞，還修補了2項程式碼執行瑕疵。Intel顯卡的CVE-2023-23507，能使惡意App以核心權限執行任意程式碼。Samba網路芳鄰共享中的程式碼執行漏洞編號為CVE-2023-23513。

其次，iOS 16.3、iPadOS 16.3及macOS Ventura 13.2也修補了Safari二項漏洞，其中CVE-2023-23510讓App存取Safari的上網記錄，CVE-2023-23512可在瀏覽器造訪惡意網頁時，導致阻斷服務（Denial of Service，DoS）攻擊。ImageIO元件中的CVE-2023-23519，可在處理惡意圖片時引發記憶體毁損，造成阻斷服務。

macOS Ventura更新並修補了一項重要漏洞，為影響Packagekit的CVE-2023-23497，屬於狀態管理的邏輯問題，可允許惡意App得以取得root權限。而CVE-2023-23493可在不輸入密碼情況下將用戶的加密磁碟（volume）掛載到攻擊者帳號下，造成資料竊取。

這波更新還分別修補了影響iOS、iPadOS及macOS Ventura中的多項資訊洩露漏洞，影響Maps、Weather、螢幕時間（Screen Time）以及OS核心等元件。