前天苹果向iPhone和iPad正式版通道推出iOS/iPadOS 16.5.1(a)快速安全响应更新(RSR)用来修复高危安全漏洞，攻击者利用特制内容诱导用户访问即可执行任意代码，该漏洞已经在野外遭到利用。

结果上午发布更新后下午用户就无法检测到更新了，原来是苹果发现问题又悄悄撤回了更新，没有发布新的安全公告。

这个 RSR 更新似乎修改了 Safari 浏览器的用户代理字符串 (User-Agent) 并追加了 (a)，这导致部分网站出现崩溃。正常情况来说更新版本号时修改 UA 是普遍做法，不过版本号通常都是数字的，苹果这次加上 (a) 可能导致一些网站无法正常处理这种 “新式” UA 于是崩溃了。

今天苹果确认了这种情况，苹果发布新的安全公告宣布推出iOS/iPadOS 16.5.1(c)版，该版本与(a)版更新内容基本相同都是修复漏洞的，但也解决了某些网站无法正常访问的问题。

使用iPhone和iPad的用户建议立即安装此更新修复漏洞，可能已经有更多攻击者正在开采并试图利用这枚漏洞。

漏洞详情：

根据苹果说明，该漏洞位于 WebKit 中，处理 Web 内容时可能导致任意代码执行，也就是攻击者可以制作特制内容诱导用户访问然后实现任意代码执行，危害程度确实比较高。这枚漏洞已经在野外遭到黑客利用，属于零日漏洞的范畴。

最后，这枚漏洞由不愿意提供姓名的研究人员上报。

访问苹果安全公告：https://support.apple.com/en-us/HT213823