吳明宜蘋果昨日發佈最新一輪快速安全回應,解決已發生攻擊的漏洞,影響iPhone、iPad及Mac電腦。
蘋果昨日發佈最新一輪快速安全回應 (Rapid Security Response, RSR) 安全更新,解決一個已發生攻擊、影響 iPhone 、 iPad 及 Mac 電腦的漏洞。
蘋果接獲不知名研究人員通報一個編號 CVE-2023-37450 的漏洞,且該漏洞可能已經發生積極濫用情形。 RSR 提供的是重要,有時是指已經發生攻擊事件的漏洞安全修補程式,是在正規安全更新之間發佈。蘋果呼籲有用戶儘速更新 iPhone 、 iPad 及 Mac 裝置。
這波修補的蘋果軟體包括:macOS Ventura 13.4.1(a) 、 iOS 16.5.1(a) 、 iPadOS 16.5.1 (a) 及 Safari 16.5.2 。
CVE-2023-37450 位於蘋果開發的瀏覽器引擎 WebKit,可讓攻擊者藉由誘使用戶開啟包含惡意內容的網頁觸發,而在目標裝置上執行任程式碼。蘋果已強化驗證機制以解決漏洞,阻斷攻擊意圖。
如果用戶關閉或未安裝快速安全回應,則會在 Mac 電腦、 iPhone 及 iPad 後續軟體更新中修補該漏洞。
這是蘋果自今年以來修補的第 10 個零時差漏洞。上個月蘋果還另外修補可被用以植入 Triangulation 間諜軟體的 3 個零時差漏洞,包括 CVE-2023-32439 、 CVE-2023-32435 及 CVE-2023-32439 。 4 月的 2 個零時差漏洞 CVE-2023-28205 、 CVE-2023-28206 則被用以發動精準攻擊,在目標人士手機中植入間諜軟體,而今年 2 月蘋果也修補了另一個可執行惡意程式碼的 WebKit 零時差漏洞。