苹果全家桶曝史诗级安全漏洞 波及十余代机型

Meise

科技媒体 TOP2 1月29日消息：国外安全研究人员近日发现，苹果全系现役iPhone、iPad、Mac及多款早期设备存在两个高危漏洞——SLAP（推测加载地址预测攻击）与FLOP（错误加载输出预测）。这两个基于芯片架构的漏洞与2018年曝光的"幽灵"（Spectre）和"熔毁"（Meltdown）漏洞同源，均源自现代处理器采用的推测执行优化技术。

佐治亚理工学院研究团队指出，推测执行机制允许芯片预判未来可能执行的指令并提前加载数据。攻击者可借此向系统注入畸形数据，突破内存隔离保护读取敏感信息。具体到Safari浏览器场景，本应通过沙盒隔离的浏览器标签页将失去防护屏障：当用户访问恶意网站时，攻击者可通过SLAP漏洞窃取其他标签页内的电子邮件内容、实时定位信息、银行账户凭证等隐私数据；FLOP则具备更强大的跨浏览器攻击能力，除Safari外还可渗透Chrome浏览器。

经确认，搭载A15及以上芯片的iPhone 13至iPhone 16系列、2021年后发布的各款iPad，以及采用M2及以上芯片的2022款MacBook Air/Pro、2023款Mac mini/Mac Studio/iMac/Mac Pro均存在安全风险。值得警惕的是，此类攻击完全基于系统底层漏洞，无需植入恶意软件且极难被常规安全机制察觉。

目前苹果公司已着手修复工作，其中SLAP漏洞于2024年5月上报，FLOP漏洞则在同年9月提交至安全团队。尽管尚无证据表明漏洞已被实际利用，但考虑到攻击可造成的严重后果，建议受影响设备用户在系统更新发布后立即升级。