Apple 日前發表 iOS、iPadOS 13.6,除了新增功能之外,同時修復 29 個資安漏洞;建議所有 iPhone 和 iPad 用戶,應立即更新系統。

Apple 日前發表 iOS、iPadOS 13.6,除了新增功能之外,同時一口氣修補了 29 個資安漏洞;其中有 10 個漏洞可導致駭侵者遠端執行任意程式碼(RCE)。

首先,有四個 RCE 漏洞(CVE-2020-9888、CVE-2020-9889、CVE-2020-9890、CVE-2020-9891)發生在聲音子系統中;只要播放一個特製的損壞聲音檔案,駭侵者便可用以執行任意程式碼。

另外有三個 RCE 漏洞發生在 WebKit 瀏覽器引擎中:CVE-2020-9894、CVE-2020-9893、CVE-2020-9895;利用特製的網頁來進行遠端執行程式碼。駭侵者經常會把這類攻擊工具偽裝成「越獄」破解工具,誘使想越獄的用戶瀏覽,繞過防範較為嚴密的官方 App Store,以入侵受害者的系統。

除了 iOS 和 iPadOS 外,Apple 也同時發布了 macOS、tvOS、WatchOS 的新版本,以 macOS Catalina 10.15.6 的更新程式為例,也一口氣修補了近 20 個嚴重程度不一的資安漏洞。

Apple Watch 的作業系統更新 WatchOS 6.2.8 則更新了 18 個資安漏洞、tvOS 13.4.8 則更新了 20 個資安漏洞。

由於這波更新幾乎含蓋所有 Apple 硬體產品,建議所有 iPhone、iPad、Mac、Apple Watch 和 Apple TV 用戶,應立即透過系統更新功能修復這些資安漏洞,以降低遭駭侵者利用這些已知漏洞發動攻擊的風險。


  • 參考連結

https://support.apple.com/en-us/HT211288

https://support.apple.com/en-us/HT211289

https://support.apple.com/en-us/HT211291

https://support.apple.com/en-us/HT211290

https://www.theregister.com/2020/07/16/apple_july_updates/

    twcert 發表在 痞客邦 留言(0) 人氣()