吳明宜蘋果昨 (22) 日釋出 iOS 、 iPadOS 、 macOS 、 tvOS 及 Safari 瀏覽器更新,解決一個已有攻擊程式或活動的零時差漏洞。
修補的漏洞編號 CVE-2024-23222,為一型態混淆漏洞,可在受害者瀏覽器執行惡意網頁時,執行任意程式碼。蘋果以軟體更新強化網頁的檢查。
一般來說,型態混淆漏洞可被濫用,以執行越界記憶體存取、導致應用程式當掉或執行任意程式碼。
蘋果坦承接獲該漏洞已遭濫用的通報,但並未說明是什麼攻擊,或攻擊的濫用手法。
受到該漏洞的影響的作業系統包括 iOS 16.7.5 及 iPadOS 16.7.5(iPhone 8/8 Plus/X 、 iPad 5 、 iPad Pro 9.7 吋、 iPad Pro 12.9 吋第一代)、 macOS Sonoma 14.3 、 macOS Ventura 13.6.4 、 macOS Monterey 12.7.3 、 tvOS 17.3 – Apple TV HD 及 Apple TV 4K,以及 Safari 17.3(macOS Monterey 及 Ventura)。
這也是蘋果今年修補的第一個零時差漏洞。去年蘋果一共修補了 20 個零時差漏洞。
此外,蘋果也將去年修補的 2 個漏洞,包括 CVE-2023-42916 及 CVE-2023-42917 更新作業系統包括 iOS/ iPadOS 15.8.1 部署到較舊硬體,包括 iPhone 6s 、 7 、 iPhone SE 、 iPad Air 2 、 iPad mini 4 及 iPod touch 7 。
在本周安全更新前,上周蘋果產品傳出一個安全隱憂。中國官方宣佈已經利用彩虹表 (rainbow table) 手法破解舊 iOS AIrDrop 加密功能,以辨識散佈不適切內容的用戶。