Apple 於日前推出的 iOS 16.1、iPadOS 16.1 中,修復一個可能已遭用於駭侵攻擊的 0-day 漏洞 CVE-2022-42827,該漏洞可讓駭侵者取得 kernel 權限並且遠端執行任意程式碼;iPhone 與 iPad 用戶應立即更新作業系統,以免遭到駭侵者透過此漏洞發動攻擊。
據 Apple 發表的資安通報與 iOS 16.1、iPadOS 16.1 更新記事中指出,CVE-2022-42827 是一個記憶體緩衝區越界寫入錯誤,導因於邊界檢查的漏洞所致;駭侵者可利用這個漏洞誘發記憶體崩潰,因而取得 kernel 權限並遠端執行任意程式碼。該漏洞為一位匿名資安研究人員發現並提報 Apple。
據 Apple 發布的資安通報指出,該公司已知悉本漏洞可能已遭駭侵者用於發動駭侵攻擊,惟目前並無相關攻擊事件的進一步訊息。
該漏洞影響的 Apple iPhone 與 iPad 產品,包括 iPhone 8 與後續機型、iPad Pro 所有機型、iPad Air 第 3 代與後續機型、iPad 第 5 代與後續機型、iPad mini 第 5 代與後續機型。
CVE-2022-42827 是 Apple 於 2022 年修復的第 9 個 0-day 漏洞。
此外,在 Apple 這次推出的 iOS 16.1、iPadOS 16.1 中,也同時修復多達 18 個資安漏洞;其中包括上述 CVE-2022-42827 在內,共修復多達 13 個可讓駭侵者遠端執行任意程式碼的各式資安漏洞。
由於 iPhone 與 iPad 使用人數眾多,往往成為駭侵者的絕佳攻擊目標,因此 iPhone 與 iPad 用戶,應在 Apple 推出作業系統更新的第一時間就進行更新,以免遭駭侵者利用已公開的漏洞發動攻擊。
- CVE編號:CVE-2022-42827
- 影響產品(版本):iPhone 8 與後續機型、iPad Pro 所有機型、iPad Air 第 3 代與後續機型、iPad 第 5 代與後續機型、iPad mini 第 5 代與後續機型。
- 解決方案:升級至 iOS 16.1、iPadOS 16.1。
- 參考連結
About the security content of iOS 16.1 and iPadOS 16
https://support.apple.com/en-us/HT213489
Apple fixes new zero-day used in attacks against iPhones, iPads
留言列表
資安宣導 (2)
