Apple 的最新更新已经发布,其中包括适用于 Apple 官方支持的所有设备的广泛安全补丁。
有修复程序 iOS, iPadOS 端应用程序, tvOS 和 watchOS,以及所有三种受支持风格的补丁 macos,甚至是苹果超酷外置固件的特别更新 工作室展示 监控。
显然,如果你运行的是 macOS Ventura 并且你已经将你的 Mac 连接到 Studio Display,那么仅仅更新 Ventura 操作系统本身并不足以保护你免受潜在的系统级攻击。
根据 苹果的公告,显示屏自身固件中的错误可能会被 Mac 上运行的应用程序滥用 “以内核权限执行任意代码。”
旅客当心
我们猜测如果你现在在路上,带着你的 Mac 旅行,你可能暂时无法插入你的屏幕显示器,到那时一些有进取心的犯罪分子可能已经从补丁中倒退了,或者可能已经发布了概念验证漏洞。
当您回家后,我们不知道如何(或者即使您可以)下载用于离线安装的屏幕显示补丁。
所以:如果您只能在几天或几周内修补您的显示器; 因为你必须将打过补丁的 Mac 插入易受攻击的显示器才能更新它; 并假设您需要上网才能完成更新……
...您可能想了解如何以所谓的方式启动 Mac 安全模式,并从那里更新。
在安全模式下,会加载最少的一组系统软件和第三方应用程序,从而减少所谓的 a攻击表面积 直到你完成补丁。
具有讽刺意味的是,虽然这是不可避免的,但大多数第三方安全附加组件不会在安全模式下启动,因此另一种方法是简单地在启动时关闭尽可能多的非安全相关应用程序,这样它们就不会自动启动当您登录时。
您可以暂时关闭自启动后台应用程序 个人设置 > 其他咨询 > 登录项 菜单。
一个零日漏洞,但还有很多其他漏洞
据我们所知,好消息是这批更新中只有一个零日漏洞:漏洞 CVE-2023-23529 在 WebKit 中。
这个漏洞允许攻击者在你不注意的情况下在你的 iOS 15 或 iPadOS 15 设备上植入恶意软件,列出了可怕的词, “Apple 知道有报告称这个问题可能已被积极利用。”
幸运的是,该漏洞仅在 iOS 15.7.4 和 iPadOS 15.7.4 中被列为零日漏洞 安全公告,这意味着更新的 iDevices、Mac、电视和 Apple Watch 似乎不受此影响。
和往常一样,坏消息是,尽管如此,我们仍然存在范围广泛的我们希望我们在骗子之前找到他们的所有其他操作系统的错误,包括理论上可以被利用的漏洞:
- 内核级远程代码执行, 攻击者可以接管您的整个设备,并可能从他们喜欢的任何应用程序访问所有数据,而不是仅限于入侵单个应用程序及其数据。
- 数据窃取 由陷阱日历邀请触发。
- 访问蓝牙数据 在您的设备收到诱杀的蓝牙数据包之后。
- 绕过 Apple 通常的 Gatekeeper 隔离检查的文件下载, 比较喜欢最近的 绕过 SmartScreen 在 Windows 上由 Microsoft 的类似错误引起 网络标记 系统。
- 未经授权访问您的隐藏相册, 由照片应用程序中的缺陷引起。
- 偷偷摸摸地错误地在线跟踪您 在你浏览到一个有陷阱的网站之后。
怎么办呢?
您需要的更新、描述您所获得内容的公告以及要查找以确保您已正确更新的版本号如下:
- HT213670: macOS 文图拉 去 13.3.
- HT213677: macOS 蒙特雷 去 12.6.4.
- HT213675: macOS大苏尔 去 11.7.5.
- HT213671: Safari 去 16.4 (此更新包含在 Ventura 补丁中,但如果您使用的是 Monterey 或 Big Sur,则需要单独安装)。
- HT213676: iOS的16 和 iPadOS 16 到 16.4.
- HT213673: iOS的15 和 iPadOS 15 到 15.7.4.
- HT213674: tvOS 去 16.4.
- HT213678: watchOS 去 9.4.
- HT213672: 此 工作室显示固件 去 16.4.
在 iDevices 上,转到 个人设置 > 其他咨询 > 检查您是否是最新的,如果不是,则触发更新。
在 Mac 上,它几乎是一样的,除了你打开 Apple菜单 并选择 系统设置… 开始,然后是 其他咨询 > .
趁它们新鲜的时候拿走它们!
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
- Sumber: https://nakedsecurity.sophos.com/2023/03/28/apple-patches-everything-including-a-zero-day-fix-for-ios-15-users/