蘋果釋出iOS 16.3.1、macOS 13.2.1修補WebKit零時差漏洞

蘋果昨（13）日釋出iOS/ iPadOS 16.3.1以及macOS Ventura 13.2.1，以修補3項安全漏洞，包括一個已遭到濫用的WebKit漏洞。

一如蘋果產品大部分安全公告，蘋果本次也未提供太多技術細節。本次修補的3項漏洞中，編號CVE-2023-23529的漏洞存在macOS及iOS/iPadOS的WebKit瀏覽器引擎中。它是WebKit對網頁內容檢查不足而產生的型態混淆（type confusion）瑕疵。該漏洞影響所及，用戶以Safari瀏覽惡意網站時，WebKit處理惡意網頁內容而引發漏洞濫用，讓攻擊者得以執行任意程式碼。

蘋果接獲匿名研究人員通報，該漏洞已發生實際攻擊行動，成為蘋果今年修補的第一項零時差漏洞。

最新漏洞影響執行macOS Ventura的Mac電腦，以及iPhone 8以後版本、iPad Pro所有機種、iPad Air第3代、iPad第5代和iPad mini 5以後版本。

另兩項漏洞中，CVE-2023-23514存在iOS/iPad及macOS核心，是由盤古實驗室及Google Project Zero通報，它是一項使用已釋放記憶體（use after free）漏洞，可讓惡意應用程式以核心權限執行任意程式碼。受影響的產品如同前一項漏洞。

最後一項漏洞編號CVE-2023-23522，僅影響macOS Ventura，它位於macOS的捷徑中，可讓惡意應用程式讀取未加防護的用戶資料。通報者為阿里巴巴集團安全研究人員。

蘋果呼籲用戶儘速更新到最新版本作業系統。