visionOS示意图(图片来源/苹果)
Apple Vision Pro第一批订单即将出货之际,苹果释出visionOS 1.0.2,修补一个可能已遭到滥用的漏洞。
订价3,499美元起跳的Vision Pro于1月21日开放在美预购,预计本周五(2/2)出货第一批。不过首波较晚预购者,必须再等5到6周才领得到货。
修补的漏洞编号CVE-2023-23222,为一型态混淆漏洞,出在浏览器引擎WebKit特定元件对恶意内容验证不足。攻击者可设立恶意网页,诱使受害者以Safari浏览器造访,进而在Vision Pro上执行任意程式码。苹果表示,已接获通报漏洞遭到滥用。
更新版强化对网页内容的检查。对开发人员而言,修补程式已包含在visionOS 1.0.1版本释出,但一般消费者则会获得visionOS 1.0.2,他们必须在开始使用Vision Pro之前,先从visionOS 1.0升级到visionOS 1.0.2。
CVE-2024-23222也影响iPhone、iPad、Mac电脑及Apple TV。上周苹果已释出iOS 17.3、ipadOS 17.3、macOS 14.3及tvOS 17.3,解决包含CVE-2024-23222在内的多项漏洞。
这波针对WebKit的攻击背后策动者为谁,攻击目标与理由为何,以及本漏洞由谁发现,苹果皆未说明。