蘋果發布 iPadOS 17.7.3 更新，修復多個高危漏洞

　　IT之家 12 月 12 日消息，蘋果公司今天(12 月 12 日)發布 iOS / iPadOS 18.2 以及 macOS 15.2 Sequoia 更新之外，還面向無法升級到 iPadOS 18 的 iPad 產品，發布了 iPadOS 17.7.3 更新(內部版本號 21H312)。

蘋果關閉 iOS / iPadOS 17.7 驗證通道，已升級用戶無法降級。此外有消息稱蘋果已停止 iOS 17.x 版本更新，17.7.2 將是其最后一個版本。 IT之家援引蘋果官方安全更新頁面，iPadOS 17.7.3 更新主要適用于 12.9 英寸 iPad Pro(第二代)、10.5 英寸 iPad Pro 和第六代 iPad，修復了包括字體、圖像處理、內存管理、內核安全等多個方面的漏洞，惡意攻擊者可能利用這些漏洞竊取進程內存、導致系統崩潰或拒絕服務，甚至執行任意代碼。

　　本次安全更新主要涉及以下幾個方面：

　　內存泄漏風險：

　　處理惡意制作的字體或圖像可能導致進程內存泄漏(CVE-2024-54486、CVE-2024-54500)。

　　蘋果通過改進檢查機制解決了這些問題。

　　內存安全問題：

　　攻擊者可能創建可寫的只讀內存映射(CVE-2024-54494)、應用程序可能泄露敏感內核狀態(CVE-2024-54510)、應用程序可能導致系統意外終止或內核內存損壞(CVE-2024-44245)、處理惡意文件可能導致拒絕服務(CVE-2024-44201、CVE-2024-54501)。

　　蘋果分別通過額外的驗證、改進鎖定機制、改進內存處理以及改進檢查機制解決了這些問題。

　　權限提升及網絡安全問題：

　　應用程序可能獲得提升的權限(CVE-2024-44225)、特權網絡位置的攻擊者可能篡改網絡流量(CVE-2024-54492)、在啟用 iCloud 私人中繼的情況下，將網站添加到 Safari 閱讀列表可能泄露原始 IP 地址(CVE-2024-44246)。

　　蘋果分別通過改進檢查機制、使用 HTTPS 傳輸信息以及改進 Safari 請求路由解決了這些問題。

　　其他安全問題：

　　物理接觸 iPadOS 設備的攻擊者可能查看鎖屏通知內容(CVE-2024-54485)、處理惡意網頁內容可能導致進程崩潰(CVE-2024-54479、CVE-2024-54505)。

　　蘋果通過添加額外邏輯、改進檢查機制以及改進內存處理解決了這些問題。