蘋果緊急修補WebKit已遭開採的漏洞

蘋果周末緊急釋出更新版iOS及iPadOS、watchOS，以修補一個已被開採的漏洞。

本波釋出的是iOS 14.4.2及iPadOS 14.4.2，以及watchOS 7.3.3版。此外，蘋果也針對舊版iOS產品，釋出了iOS 12.5.2 。這波更新主要修補的是CVE-2021-1879，影響Safari的核心引擎WebKit。這項漏洞可在用戶Safari瀏覽器存取惡意網頁內容時，觸發統合式跨網站指令碼（universal cross-site scripting，UXSS）。

蘋果並未詳細說明。但根據安全公司Acunetix掌握的資訊，所謂UXSS類似跨網站指令碼（XSS）攻擊，但XSS攻擊的是Web應用及網站漏洞，UXSS攻擊目標則在瀏覽器或瀏覽器外掛的漏洞上。此類漏洞遭到開採時會影響瀏覽器行為，也會繞過或關閉安全功能，造成攻擊者得以存取同時間內由瀏覽器開啟（或快取）的其他網頁內容，或是執行惡意程式。

這次WebKit上的漏洞，是由Google威脅分析小組的Clement Lecigne和Billy Leonard所發現。蘋果指出，該公司得知已有針對這項漏洞的開採行動。

蘋果已經改善WebKit上對物件存留期（lifetime）的管理，以解決這項漏洞。

這次更新將會發送到iPhone 6S以上、iPad Pro所有機種、iPad Air2及第5代iPad 、iPad mini 4及iPod Touch 7以上的機種。iOS 12.5.2影響產品則包括iPhone 5S、iPhone 6/ 6 Plus、iPad Air、iPad mini 2、3及iPod touch 6。蘋果也呼籲用戶儘早更新。