蘋果修補舊版iPhone、Mac電腦2個零時差漏洞

繼上周強化較新的產品軟體安全性後，本周蘋果再釋出作業系統更新，以修補舊款iPhone、iPad及Mac電腦上的2個零時差漏洞。

上周五蘋果釋出iOS及iPadOS 16.4.1，以及macOS Ventura 13.3.1更新，解決2個已經遭到濫用的重大漏洞。其中CVE-2023-28205位於WebKit，為一使用已釋放記憶體（use after free）漏洞。攻擊者可設立惡意網頁引誘用戶存取，使惡意程式碼在受用戶裝置上執行。CVE-2023-28206則是影響iOSurfaceAccelerator的越界寫入漏洞，可導致惡意應用程式以核心權限，在受害者裝置上執行任意程式碼。

上周蘋果只修補較新裝置，包括iPhone 8以上、iPad Pro（所有機種）、iPad Air 3以上、iPad 5以上、iPad mini 5以上產品，以及執行macOS 13 Ventura的電腦。周一蘋果再釋出作業系統更新，修補較舊產品。其中iOS / iPadOS 15.7.5可解決舊版裝置的問題，包括iPhone 6S、7、SE及iPad Air 2、iPad mini 4與iPod touch 7。

MacOS更新則包含macOS Big Sur 11.7.6與Monterey 12.6.5。

這次蘋果只隔了一個周末就釋出兩批軟體更新，比上一個零時差漏洞修補快了很多。蘋果2月間也修補WebKit的任意程式碼執行漏洞CVE-2023-23529，當時蘋果只修補iPhone 8、iPad 5及macOS Ventura系統。直到一個月後，即3月底蘋果才解決舊版iPhone/iPad及Mac電腦的同一款漏洞。