吳明宜蘋果昨日公佈安全更新,修補舊版 iPhone 及 iPad 中的漏洞,以免遭國家級駭客使用的漏洞濫用工具 Coruna 入侵。
今年三月初 Google 和 iVerify 研究人員揭露一款相當高明的漏洞濫用套件 Coruna,可造成蘋果 iOS 系統的大規模入侵,被稱為國家 (nation-state) 等級。
這款工具包含 23 個個別濫用程式,分別可用於 5 個完整的攻擊鏈,目前已悄悄在暗網流傳。它可以讓駭客入侵 iOS 13.0(2019 年 9 月釋出)到 17.2.1 版(2023 年 12 月釋出)的 iPhone 與 iPad 。
Coruna 源自商業監控軟體開發商,業界流傳可能來自美國國防外包商 L3Harris,原本是作為精準監控之用。此後 Coruna 流向國家駭客,用於間諜行動,包括俄羅斯對烏克蘭的攻擊,然後又落入中國以錢財為目標的網路歹徒手上,他們改造來進行大規模詐騙行動。
Coruna 讓攻擊者可在受害裝置上執行遠端程式碼。一旦駭入裝置,他們能取得完整權限,像是植入持續性惡意程式。
蘋果已修補了近二年來釋出的 iOS 版本,現在則是對無法更新到最新版的舊版 iOS 釋出更新,包括 iOS 15.8.7/16.7.15,以及 iPadOS 15.8.7/16.7.15 。可安裝的裝置包括:
- iPhone:iPhone 6s(全系列)、 iPhone 7(全系列)、 iPhone SE(第 1 代)、 iPhone 8 、 iPhone 8 Plus 及 iPhone X 。
- iPad:iPad Air 2 、 iPad mini(第 4 代)、 iPod touch(第 7 代)、 iPad 第 5 代、 iPad Pro 9.7 吋及 iPad Pro 12.9 吋第 1 代。
其中 iOS/iPadOS 15.8.7 修補了四項漏洞,包括 CVE-2023-41974 、 CVE-2024-23222 、 CVE-2023-43000 和 CVE-2023-43010 。其中 CVE-2023-41974 為核心漏洞,其餘三個則是 WebKit 漏洞。
蘋果指出,CVE-2023-41974 可讓惡意 App 以核心權限執行任意程式碼,蘋果在 2023 年九月就首度修補過。其他三款 WebKit 漏洞可讓攻擊者引導用戶存取惡意網站內容,以執行任意程式碼。三款漏洞也都分別修補過:iOS 17.3 解決 CVE-2024-23222(2024 年一月)、 iOS 16.6 解決 CVE-2023-43000(2023 年七月),以及 iOS 17.2 解決 CVE-2023-43010(2023 年 12 月)。
iOS/iPadOS 16.7.15 則修補了 CVE-2023-43010 。
Google 已證實這些漏洞正遭到濫用,美國網路安全暨基礎設施安全局 CISA (Cybersecurity and Infrastructure Security Agency) 也將 CVE-2023-43010 漏洞列入已知遭濫用漏洞清單 (Known Exploited Vulnerabilities, KEV),要求聯邦機關在三月 26 日前完成修補。
這也是蘋果今年修補的第二個零時差漏洞。今年蘋果修補了 CVE-2026-20700,可讓攻擊者在 iOS 、 iPadOS 、 macOS 、 tvOS 、 watchOS 和 visionOS 裝置上遠端執行程式碼。
來源: SecurityWeek