过去一周,苹果发布了一些重要的安全更新——包括 iOS 16、iOS 15 甚至 iOS 12 的更新,以保护 iPhone 免受一个仍在蔓延的重大漏洞的侵害。这同样适用于较旧的 iPhone 型号。
尽管 iPhone 5s 于 2013 年发布,并于 2016 年停产,但它仍会收到苹果偶尔发布的重要软件更新。这些旧设备的最新软件 iOS 12.5.7 于上周发布,并修复了一个被形象地称为 CVE-2022-42856 的漏洞,该漏洞影响了包括 iPhone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3 和 iPod touch(第 6 代)在内的旧款 iPhone 和 iPad。
对于较新版本的 iPhone,CVE-2022-42856 已于 11 月底作为 iOS 16.1.2 的一部分得到修复。通过发布 iOS 15.7.2、iPadOS 15.7.2、tvOS 16.2 和 macOS Ventura 13.1,该漏洞也在其他设备上得到处理。基本上,如果你已经好几周都在点击“稍后提醒我”来推迟 Apple 更新,现在是时候进行了。
CVE-2022-42856 由谷歌威胁分析小组的 Clément Lecigne 于去年年底首次发现,它是 Apple 浏览器引擎 WebKit 中的一个漏洞,允许攻击者创建恶意网页内容,从而在 iPhone、iPad、Mac 甚至 Apple TV 上执行代码。尽管大家对该漏洞的细节都守口如瓶,以免更多的恶意行为者发现它,但它具有“高”的严重性评分。这是在一个从无、低、中、高到关键的评分尺度上。其评定依据是这类漏洞能让攻击者获得多少控制权,以及它们可以被多么容易和广泛地实施。
至关重要的是,苹果公司在 1 月 23 日表示,它已收到报告,称此问题“正在被积极利用”。换句话说,已经有黑客正在利用它来攻击 Apple 设备——包括运行 iOS 12 的旧设备——所以最好及时更新以保持安全。
除了 CVE-2022-42856,上周发布的 iOS 16.3、iPadOS 16.3、macOS Ventura 13.2 和 watchOS 9.3 还修复了一系列漏洞。其中有另外两个 WebKit 漏洞可能允许攻击者执行恶意代码,两个 macOS 拒绝服务漏洞,以及两个 macOS 内核漏洞,这些漏洞可能被滥用来泄露敏感信息、执行恶意代码或确定其内存结构细节——可能导致进一步的攻击。
但这些最新更新不仅仅处理漏洞。在去年发布之后,苹果已增加了对 Apple ID 安全密钥的支持。基本上,当你登录 Apple ID 时,你将不再收到发送到你手机的双重认证(2FA)代码,而这些代码可能被黑客拦截,你可以使用连接到你的 Apple 设备(通过 USB 端口、Lightning 端口或 NFC)的硬件安全密钥。它的安全性大大提高,因为攻击者必须物理窃取你的安全密钥并了解你的密码才能访问你的账户。
要开始为你的手机设置硬件安全系统,你需要至少两个 FIDO 认证的安全密钥,这些密钥必须与你的 Apple 设备兼容,以防你丢失一个。苹果推荐 YubiKey 5C NFC 或 YubiKey 5Ci 用于大多数 Mac 和 iPhone 型号,以及 FEITAN ePass K9 NFC USB-A 用于较旧的 Mac。你还需要将设备更新到 iOS 16.3 和 macOS Ventura 13.2。准备好后,你可以在相关设置应用的“密码与安全性”部分中将你的安全密钥连接到你的账户。
