苹果释出macOS Monterey 12.2、iOS 15.3更新，修补会外泄浏览器活动的Safari漏洞

数码评测 • 2023年8月25日 15:50 • 投稿

苹果于周三（1/26）释出macOS Monterey 12.2、 iOS 15.3、iPadOS 15.3、tvOS 15.3及watchOS 8.4，以修补安全漏洞，包含日前被揭露的、允许黑客访问浏览器机密信息的Safari 15漏洞CVE-2022-22594。

由于苹果各操作系统的同质性高，因而各平台的安全更新都修补了不少同样的安全漏洞，例如此次它们一起修补了藏匿在Safari 15中的CVE-2022-22594、CVE-2022-22589、CVE-2022-22592与CVE-2022-22590，以及出现在ColorSync的CVE-2022-22584、Crash Reporter中的CVE-2022-22578、涉及iCloud的CVE-2022-22585，与Kernel中的CVE-2022-22593，总计8个同样的漏洞。

至于macOS Monterey 12.2则额外修补位于AMD Kernel、Intel Graphics Driver、IOMobileFrameBuffer、Model I/O及PackageKit中的安全漏洞，其中IOMobileFrameBuffer的CVE-2022-22587漏洞属重大漏洞，iOS 15.3与iPadOS 15.3额外修补了IOMobileFrameBuffer与Model I/O漏洞，tvOS 15.3亦额外修补Model I/O漏洞。

最受外界瞩目的是日前被资安业者FingerprintJS披露的CVE-2022-22594。

根据FingerprintJS的解释，Safari 15不当地建置IndexedDB API，而让Safari用户所造访的任何网站都能追踪用户的行为，甚至得知用户的真实身份。

IndexedDB为一客户端储存的浏览器API，可用来存放大量数据，它支持所有主要的浏览器，也遵循同源政策，然而，应用在苹果所有平台上的Safari 15浏览器中的IndexedDB API却违反了同源政策，使得用户所造访的网站可得知其它其它窗口或分页的网站，甚至能够得知谷歌替用户建立的User ID，利用此一User ID再去寻找其它的个人资料。

其实苹果此次修补的安全漏洞中，不乏影响更严重的远程程序攻击漏洞，尽速更新操作系统才是上策。