苹果发布iPadOS 17.7.3更新，修复多个高危漏洞

苹果发布iPadOS 17.7.3更新，修复多个高危漏洞

引用

新浪网

1.

https://finance.sina.com.cn/tech/digi/2024-12-12/doc-inczeeaw9988064.shtml

苹果公司近日发布了iPadOS 17.7.3更新，主要针对无法升级到iPadOS 18的设备。此次更新修复了多个高危漏洞，涉及字体处理、内存管理、内核安全等多个方面，有效提升了设备的安全性和稳定性。

苹果公司于12月12日发布了iOS/iPadOS 18.2以及macOS 15.2 Sequoia更新之外，还面向无法升级到iPadOS 18的iPad产品，发布了iPadOS 17.7.3更新（内部版本号21H312）。值得注意的是，苹果已经关闭了iOS/iPadOS 17.7的验证通道，这意味着已升级的用户将无法降级。此外，有消息称苹果已停止iOS 17.x版本的更新，17.7.2将是该系列的最后一个版本。

根据苹果官方安全更新页面，iPadOS 17.7.3更新主要适用于12.9英寸iPad Pro（第二代）、10.5英寸iPad Pro和第六代iPad，修复了包括字体、图像处理、内存管理、内核安全等多个方面的漏洞。这些漏洞可能导致进程内存泄漏、系统崩溃或拒绝服务，甚至可能被恶意攻击者利用执行任意代码。

内存泄漏风险

• 处理恶意制作的字体或图像可能导致进程内存泄漏（CVE-2024-54486、CVE-2024-54500）。
• 苹果通过改进检查机制解决了这些问题。

内存安全问题

• 攻击者可能创建可写的只读内存映射（CVE-2024-54494）。
• 应用程序可能泄露敏感内核状态（CVE-2024-54510）。
• 应用程序可能导致系统意外终止或内核内存损坏（CVE-2024-44245）。
• 处理恶意文件可能导致拒绝服务（CVE-2024-44201、CVE-2024-54501）。
• 苹果分别通过额外的验证、改进锁定机制、改进内存处理以及改进检查机制解决了这些问题。

权限提升及网络安全问题

• 应用程序可能获得提升的权限（CVE-2024-44225）。
• 特权网络位置的攻击者可能篡改网络流量（CVE-2024-54492）。
• 在启用iCloud私人中继的情况下，将网站添加到Safari阅读列表可能泄露原始IP地址（CVE-2024-44246）。
• 苹果分别通过改进检查机制、使用HTTPS传输信息以及改进Safari请求路由解决了这些问题。

其他安全问题

• 物理接触iPadOS设备的攻击者可能查看锁屏通知内容（CVE-2024-54485）。
• 处理恶意网页内容可能导致进程崩溃（CVE-2024-54479、CVE-2024-54505）。
• 苹果通过添加额外逻辑、改进检查机制以及改进内存处理解决了这些问题。

此次更新对于使用上述设备的用户来说非常重要，建议及时安装以确保设备安全。