編譯/鄭智懷
Apple在美西當地時間27日發布iOS 15.7.4 和 iPadOS 15.7.4更新內容,以解決多起系統錯誤或安全漏洞,其中包含一項已被駭客廣泛利用的WebKit瀏覽器引擎零時差漏洞。
根據Apple公告,該項由匿名研究員通報的零時差漏洞被命名為「CVE-2023-23529」。而本次發布的補丁主要針對iPhone 6s(所有型號)、iPhone 7(所有型號)、iPhone SE(第1代)、iPad Air 2、iPad mini(第4代)和 iPod touch(第7代)。至於在較新版本的iPhone 和 iPad中的相同漏洞,Apple早在2月13日已經透過檢查與改進,並釋出補丁修補相關問題。
美國網路安全暨基礎設施安全局(CISA)則在2 月 14 日將「CVE-2023-23529」列入其已知安全漏洞資料庫之中。
在技術方面,Apple指出「CVE-2023-23529」會導致受害者打開惡意網頁後,網路犯罪者可以藉此入侵前者iPhone 和iPad並執行任意程式碼,進而使設備系統崩潰。事實上,該安全漏洞還會影響macOS Big Sur作業系統和Monterey上的Safari 16.3.1瀏覽器。
儘管Apple在公告中表示知道駭客廣泛利用「CVE-2023-23529」攻擊名下產品的現象;但基於其旨在限制技術細節流出,減緩攻擊者開發和使用針對性攻擊手法的考量所訂下的公司政策,除了上述相關的訊息,Apple並未提供更進一步的說明。
根據現有資訊,專家指出利用「CVE-2023-23529」所發起的攻擊活動具強烈的針對性,並非所有人都會受到威脅;但是,仍然建議盡快安裝Apple最新釋出的安全更新,以杜絕駭客鎖定舊款iPhone 和iPad運行舊版軟體的潛在漏洞而遂行的網路攻擊行動。
資料來源:Apple、BleepingComputer、Security Affairs
瀏覽 725 次
