針對被發現且已遭利用的 iOS 嚴重 0-day 漏洞,Apple 立即推出 iOS 小改版升級,以修補此一漏洞。
這個編號為 CVE-2020-9859 的 0-day 漏洞,是在上周公開,且已遭 iOS 裝置越獄軟體 Unc0ver jailbreak 利用來破解各型 iOS 裝置。而在 Apple 發表的 iOS 更新中,已經修補了這個漏洞。
這個漏洞的發生原因,是在系統處理記憶體資料時的問題,可讓駭侵者以核心權限執行任意程式碼。能夠取得核心執行權限,基本上就能在 iOS 系統中為所欲為,駭侵者可用以竊取資訊、攔截並修改程式或資料,當然也能執行更多惡意軟體。
Unc0ver 越獄程式支援的 iOS 版本範圍相當廣,甚至連最新版的 iOS 13.5 都可利用此越獄程式加以破解。
這類越獄程式雖然可讓 iOS 裝置用戶安裝使用各種非官方 App,或是突破 Apple 因為各種商業或資安考量在系統設立的限制,讓越獄用戶更能完全控制其裝置,但這也給駭侵者大開方便之門;駭侵者將能繞過 Apple 原先設計的各種資安關卡,在越獄用戶無法查覺的情形下,於其裝置植入惡意軟體。
Apple 呼籲所有 iOS 裝置用戶,包括 iPhone、iPad、Apple TV、HomePod、Apple Watch 的使用者,都應透過系統更新服務,立即更新到最新版的 iOS 作業系統,以避免因為這個 0-day 漏洞而遭到駭侵攻擊。
- CVE編號:CVE-2020-9859
- 影響產品/版本:iOS 13.5 以前、iPad OS 13.5 以前、watchOS 6.2.5 以前、tvOS 13.4.5 以前各版
- 解決方案:透過系統更新服務,升級到最新版本 iOS
參考連結
https://support.apple.com/en-us/HT201222
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9859
https://threatpost.com/apple-jailbreak-zero-day-patch/156201/
- 【更多資訊產品漏洞】請參考 https://www.twcert.org.tw/tw/lp-104-1.html
留言列表
資安宣導 (2)
