吳明宜iOS 、 iPadOS 及 macOS 再傳零時差漏洞!蘋果於周末及周一接連緊急釋出新版作業系統以解決已經出現攻擊程式的漏洞。
蘋果上周五緊急釋出 iOS/ iPadOS 16.4.1,以及 macOS 13.3.1 更新修補兩個重大風險漏洞:CVE-2023-28205 及 CVE-2023-28206 。其中 CVE-2023-28205 為影響 WebKit 的使用已釋放記憶體(use after free)漏洞。駭客可設計惡意網頁,引誘 iOS 裝置用戶以 Safari 瀏覽器存取,使惡意程式碼在 iOS/iPadOS 裝置及 MacOS Ventura 電腦上執行。
CVE-2023-28206 是位於 iOSurfaceAccelerator 的越界寫入(out-of-bounds write)漏洞,可能讓惡意應用程式以核心權限執行任意程式碼。
兩個漏洞都是由 Google 威脅分析小組及 Anesty International 安全實驗室研究人員 Donncha O’Cearbhaill 發現。蘋果指出,該公司獲報漏洞已存在攻擊程式,意謂著已經有駭客發動攻擊,或是已出現可利用兩漏洞的概念驗證程式。
上周五蘋果先是針對較新 iOS 及 macOS 裝置釋出更新軟體,包括 iPhone 8 以上、(所有機種)iPad Pro 、 iPad Air 3 以上、 iPad 5 以上、 iPad mini 5 以上產品,以及 macOS 13 Ventura 。
周一蘋果再釋出 iOS / iPadOS 15.7.5 ,提供舊版裝置,包括 iPhone 6S 、 7 、 SE 及 iPad Air 2 、 iPad mini 4 與 iPod touch 7 。 MacOS 更新則包括 macOS Big Sur 11.7.6 和 Monterey 12.6.5 。
上周 Google 研究人員發現,有多個零時差及極端空窗的漏洞,被商用間諜軟體供應商的工具濫用,以鎖定 Android 和 iOS 裝置用戶。
Google 研究人員指出,Chrome 、 WebKit 及核心驅動程式漏洞遭到多次針對個人的高明精準攻擊。
來源:SecurityWeek