Apple釋出安全更新 修補2個重大零時差漏洞
編譯/鄭智懷
Apple在美西當地時間7日緊急發布iOS 16.4.1、iPadOS 16.4.1、macOS Ventura 13.3.1與Safari 16.4.1更新,以針對兩個已經遭濫用的零時差漏洞CVE-2023-28205及CVE-2023-28206。
根據Apple的安全更新公告,本次更新適用者包含iPhone 8以上、iPad Pro(所有機種)、iPad Air 3以上、iPad 5以上、iPad mini 5以上產品;使用macOS Big Sur、Monterey和Ventura的Mac產品。而舊版iOS、iPad及macOS產品則尚未釋出更新版軟體。
至於在漏洞方面,兩個零時差漏洞CVE-2023-28205與CVE-2023-28206由Google威脅分析小組(TAG)的研究員Clément Lecigne及國際特赦組織(AI)安全實驗室研究人員Donncha Ó Cearbhaill發現及通報。
研究指出,CVE-2023-28205位於WebKit,為使用已釋放記憶體(use after free)漏洞,使攻擊者可以在受害者登入惡意網頁後,於後者資訊設備執行任意代碼。至於CVE-2023-28206則位於iOSurfaceAccelerator,為越界寫入(out-of-bounds write)漏洞,可以讓任何iOS程式—即使是惡意程式—以核心權限執行任意程式碼。
資安專家Paul Ducklin Sophos強調,攻擊者也可能同時利用CVE-2023-28205與CVE-2023-28206兩個零時差漏洞,譬如先透過前者入侵受害者設備,接著轉用後者擴大控制與感染範圍。
Paul Ducklin Sophos補充,所有由AppStore下載且具有與網路連接功能的程式都需要使用WebKit執行。換言之,即使用戶使用的瀏覽器並非Safari,同樣也會受到CVE-2023-28205漏洞的影響。因此,他建議所有Apple用戶都應盡可能地迅速執行更新動作。
統計資料顯示,Apple自2023年以來已經修補了三個零時差漏洞(包含本次的兩個漏洞)。上一次釋出更新時間為2月,修復同樣被駭客廣泛利用的CVE-2023-23529。據悉,該漏洞使攻擊者可以在受害者設備執行任意代碼。
資料來源: iOS 16.4.1 and iPadOS 16.4.1、Safari 16.4.1、The Hacker News、BankInfoSecurity
瀏覽 1,438 次