苹果今天向受支持的 iPhone 和 iPad 推出 iOS/iPadOS 16.6 正式版，本次更新主要是修复错误和安全漏洞，没有新功能。

修复的漏洞里包含两个已经在野外遭到利用的零日漏洞，本次修复的零日漏洞与之前苹果通过 RSR 快速安全响应更新修复的漏洞有一枚是相同的，现在 RSR 更新的代码也已经同步到 iOS 16.6 正式版中。

解决的问题涵盖内核、Find My、WebKit、Apple Neural Engine 等类别，涉及的安全漏洞如下：

CVE-2023-38606：

应用程序可能可以修改敏感的内核状态，苹果获得的一份报告显示，在 iOS 15.7.1 发布之前的 iOS 版本就包含该漏洞且可能已经被黑客利用，属于零日漏洞范畴。

该漏洞有卡巴斯基实验室的安全研究人员提交。该漏洞也是之前卡巴斯基报告的三角测量攻击中的一个。

CVE-2023-37450：

该漏洞位于 WebKit 中，处理 Web 内容时可能导致任意代码执行，也就是攻击者可以制作特制内容诱导用户访问然后实现任意代码执行，危害程度确实比较高。这枚漏洞已经在野外遭到黑客利用，属于零日漏洞的范畴。

该漏洞由匿名安全研究人员提交，该漏洞此前已经在 iOS/iPad 16.5.1 (a)/(c) 中修复。