close

Apple 修復會攻擊 iPhone 等產品的 WebKit 全新 0-day 漏洞

Apple 近日在最新發表的 iOS、iPadOS、tvOS、macOS 等多種作業系統中,修復了一個存於 WebKit 組件中的 0-day 漏洞;該漏洞可讓駭侵者利用特製的網頁,在受駭系統上執行任意程式碼。

該漏洞的 CVE 編號為 CVE-2022-42856,是一種存於 Apple WebKit 網頁瀏覽器引擎中的形別混淆錯誤(Type Confusion),由 Google 旗下的 Threat Analysis Group 的資安研究人員發現。

研究人員指出,駭侵者可利用特製的網頁程式碼來誘發此錯誤,並在裝置上執行任意程式碼,以在作業系統中執行惡意軟體,或是進一步下載後續的惡意程式或監控軟體酬載,以發動進一步的攻擊。

這次 Apple 推出的 0-day 漏洞更新,置於新推出的 iOS/iPadOS 15.7.2、Safari 16.2、tvOS 16.2 與 macOS Ventura 13.1。Apple 也在更新說明中表示,該漏洞可能已遭駭侵者大規模用於攻擊活動。

受此漏洞影響的 Apple 裝置,包括 iPhone 6s 所有機型、iPhone 7 所有機型、iPhone SE (第 1 代)、iPad Pro 所有機型、iPad Air 2 與後續機種、iPad 第 5 代與後續機種、iPad mini 4 與後續機種、iPod Touch 第 7 代。

建議使用上述機種機型的用戶,應立即透過作業系統更新,修補所有已知的資安漏洞,以防駭侵者利用尚未修補的漏洞趁虛而入。

  • CVE編號:CVE-2022-42856
  • 影響產品(版本): iPhone 6s 所有機型、iPhone 7 所有機型、iPhone SE(第 1 代)、iPad Pro 所有機型、iPad Air 2 與後續機種、iPad 第 5 代與後續機種、iPad mini 4 與後續機種、iPod Touch 第 7 代。
  • 解決方案:升級至 iOS/iPadOS 15.7.2、Safari 16.2、tvOS 16.2 與 macOS Ventura 13.1 與後續版本作業系統。
     
  • 參考連結

About the security content of iOS 15.7.2 and iPadOS 15.7.2

https://support.apple.com/en-us/HT213531

Apple security update fixes new iOS zero-day used to hack iPhones

https://www.bleepingcomputer.com/news/apple/apple-fixes-new-webkit-zero-day-used-in-attacks-against-iphones/

arrow
arrow
    創作者介紹
    創作者 twcert 的頭像
    twcert

    台灣電腦網路危機處理暨協調中心-TWCERT/CC

    twcert 發表在 痞客邦 留言(0) 人氣()