蘋果修補 iPhone重大漏洞

蘋果在周二（7/31）釋出iPhone v1.0.1版，修補5個iPhone漏洞，其中有兩個是iPhone內建的Safari瀏覽器漏洞，另兩個漏洞存在於WebKit中，還有一個為WebCore漏洞。資安業者Secunia將此次的iPhone修補列為高度重大等級。

在蘋果所修補的兩個iPhone Safari漏洞中，當使用者瀏覽到惡意網站時，一個可能引發跨網站程式攻擊（cross-site scripting，XSS），另一個則可能導致駭客在使用者手機上執行任意程式。

其中有一個Safari漏洞是由Independent Security Evaluators（ISE）資訊安全顧問公司的研究人員所發現。他們設計一個針對iPhone中Safari瀏覽器的攻擊程式，當iPhone透過Safari去瀏覽一個惡意網站時，該攻擊程式就會讓iPhone連結到他們所控制的伺服器，並可輸出iPhone裡頭儲存的個人資料，包括文字簡訊、連絡人名單、電話記錄及語音郵件等。

用來呈現HTML檔案的WebCore元件漏洞則是當使用者瀏覽惡意網站時可能會允許跨網站請求。WebKit的兩個漏洞中有一個可能會將使用者導至偽造的網站，另一個則會讓iPhone應用程式突然中止，或讓駭客遠端執行任意程式。

iPhone使用者可以透過iTunes進行自動更新或手動更新。

除了釋出iPhone v1.0.1版外，蘋果周二也修補了45個Mac OS X的漏洞及4個Safari漏洞。在OS X漏洞中，有11個被列為最嚴重等級，因為可能導致遠端程式攻擊，其他漏洞還包括跨網站攻擊、緩衝區溢位及權限擴張等；4個Safari漏洞都影響了XP及Vista版本，有3個影響Mac版本。（編譯/陳曉莉）