苹果紧急修补WebKit已遭开采的漏洞

苹果周末紧急释出更新版iOS及iPadOS、watchOS，以修补一个已被开采的漏洞。

本波释出的是iOS 14.4.2及iPadOS 14.4.2，以及watchOS 7.3.3版。此外，苹果也针对旧版iOS产品，释出了iOS 12.5.2 。这波更新主要修补的是CVE-2021-1879，影响Safari的核心引擎WebKit。这项漏洞可在用户Safari浏览器存取恶意网页内容时，触发统合式跨网站指令码（universal cross-site scripting，UXSS）。

苹果并未详细说明。但根据安全公司Acunetix掌握的资讯，所谓UXSS类似跨网站指令码（XSS）攻击，但XSS攻击的是Web应用及网站漏洞，UXSS攻击目标则在浏览器或浏览器外挂的漏洞上。此类漏洞遭到开采时会影响浏览器行为，也会绕过或关闭安全功能，造成攻击者得以存取同时间内由浏览器开启（或快取）的其他网页内容，或是执行恶意程式。

这次WebKit上的漏洞，是由Google威胁分析小组的Clement Lecigne和Billy Leonard所发现。苹果指出，该公司得知已有针对这项漏洞的开采行动。

苹果已经改善WebKit上对物件存留期（lifetime）的管理，以解决这项漏洞。

这次更新将会发送到iPhone 6S以上、iPad Pro所有机种、iPad Air2及第5代iPad 、iPad mini 4及iPod Touch 7以上的机种。iOS 12.5.2影响产品则包括iPhone 5S、iPhone 6/ 6 Plus、iPad Air、iPad mini 2、3及iPod touch 6。苹果也呼吁用户尽早更新。