苹果公司近日针对旧款设备发布了一项紧急安全更新,即 iOS 15.8.7 与 iPadOS 15.8.7。此举旨在防御一个名为 “Coruna” 的漏洞利用工具包带来的严重威胁,保护那些因硬件限制而无法升级到最新系统的用户。
关键安全补丁回溯
这项发布于2026年3月11日的关键补丁,实际上是将先前为较新系统(如 iOS 16 和 17)修复的安全漏洞,回溯移植到了旧版操作系统上。苹果公司这么做,是为了确保使用老旧硬件的用户不会暴露在高级网络攻击的风险之中。
Coruna 漏洞利用工具包通过串联多个漏洞来入侵苹果设备,其攻击面同时覆盖了设备的核心操作系统(内核)和负责渲染网页的 WebKit 浏览器引擎。攻击方式相当危险:攻击者只需诱骗用户访问一个恶意网站,就有可能完全控制受影响的 iPhone 或 iPad。
历史漏洞被重新利用
值得注意的是,苹果其实早在2023年7月至2024年1月期间,就已经在 iOS 16 和 iOS 17 中修复了这些特定的安全漏洞。然而,威胁行为者正利用 Coruna 工具包,重新“武装”这些旧漏洞并发起主动攻击。面对这种情况,苹果不得不采取必要措施,为那些无法获得常规新版本更新的旧设备,单独推送这份关键的 安全 补丁。
因此,所有使用老旧苹果硬件的用户都必须立即安装此软件更新以确保安全。受影响的设备型号包括 iPhone 6s、iPhone 7、iPhone SE(第一代)、iPad Air 2、iPad mini(第四代)和 iPod touch(第七代)。
修复的四个关键漏洞
iOS 15.8.7 更新具体修复了四个安全漏洞,它们构成了 Coruna 漏洞利用工具包攻击链的关键环节:
内核漏洞(CVE-2023-41974):由研究员 Félix Poulin-Bélanger 发现,这是设备内核中的一个释放后使用(use-after-free)内存问题。如果被成功利用,恶意应用程序可以执行具有最高系统权限(内核权限)的任意代码。苹果通过改进内存管理修复了此问题。
WebKit类型混淆漏洞(CVE-2024-23222):这是苹果网页渲染引擎中的一个漏洞,允许攻击者在用户访问并处理恶意制作的网页内容时,执行任意代码。苹果通过实施更严格的验证检查解决了该问题。
WebKit内存损坏漏洞(CVE-2023-43000):这是 WebKit 中的另一个释放后使用漏洞,在解析恶意网页时可能导致内存损坏。苹果通过增强的内存管理技术修补了该漏洞。
WebKit内存损坏漏洞(CVE-2023-43010):又一个由恶意网页内容触发的严重 WebKit 问题,同样会导致内存损坏。苹果通过改进整体内存处理协议解决了这一缺陷。
高危攻击方式
由于 Coruna 漏洞利用工具包主要采用基于网络的攻击方式,这意味着用户仅通过日常浏览互联网,甚至只是点击一条短信中的链接,就可能面临设备被入侵的风险。其攻击逻辑通常是利用 WebKit 漏洞获得初始立足点(访问权限),再通过内核漏洞实现系统权限提升,从而完全掌控设备。这种“组合拳”式的攻击链条,使得该威胁的严重性极高。
强烈建议所有仍在使用受影响老旧 iOS 设备的用户,立即前往“设置”->“通用”->“软件更新”中,下载并安装 iOS 15.8.7 或 iPadOS 15.8.7 更新,以便及时封堵这些已被公开利用的漏洞。
参考来源:https://cybersecuritynews.com/apple-released-emergency-updates/
讨论与延伸:在移动安全领域,此类针对老旧系统的“回溯”攻击正变得越来越常见。这提醒我们,即使设备不再获得新功能更新,其安全状态仍需被持续关注。对开发者而言,理解系统底层漏洞的利用原理,也是构建更安全应用的重要一环。关于移动开发与安全的更多深入讨论,你可以在 云栈社区 找到相关的技术交流板块。 | 
发表于 3 小时前
|
查看: 2|
回复: 0
