Apple 在2017年10月31日发布软件更新以应对于 iOS 11.1 之前版本中发现的20个漏洞。有多种方式能利用这些漏洞攻击受影响的系统,例如攻击者可诱使用户开启特制的文字或zip档案、或浏览恶意网站;使用特定的本机运作绕过装置屏幕锁定功能从而取得用户资料;以及在使用WPA2加密规约的Wi-Fi网络中对受影响的iOS装置发动中间人攻击攻击。
成功利用这些漏洞可以导致执行任意程式码、权限提升、服务受阻断、取得敏感资料、程式意外终止或数据操纵。
产品供应商发行了 iOS 11.1 应对以上问题。用户应更新 iOS 的版本至 11.1 以修补之前保安警报(A17-10-04)所提及的WPA2加密规约漏洞。
用户可透过产品本身的自动更新装置来更新软件。受影响系统的用户应遵从产品供应商的建议,立即采取行动以降低风险。
https://support.apple.com/en-us/HT208222
https://www.hkcert.org/my_url/zh/alert/17110101
https://www.us-cert.gov/ncas/current-activity/2017/10/31/Apple-Releases-Multiple-Security-Updates
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7113
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-13080
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-13783
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-13784
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-13785
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-13788
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-13791 (to CVE-2017-13796)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-13798
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-13799
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-13802 (to CVE-2017-13805)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-13844
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-13849