Apple 日前緊急推出新版 iOS、iPadOS、macOS，以修補一個新發現的 WebKit 0-day 漏洞 CVE-2023-23529；該漏洞可讓駭侵者用於執行任意程式碼。

編號 CVE-2023-23529 的這個全新 0-day 漏洞，是一個存於 WebKit 瀏覽器引擎的錯誤，駭侵者可利用特製的網頁內容來誘發此錯誤發生，並且執行任意程式碼，以發動進一步的駭侵攻擊。

Apple 在資安通報中也表示，該漏洞可能已經遭到廣泛濫用於駭侵攻擊。該漏洞存內建 WebKit 引擎且執行舊版作業系統的 iPhone、iPad 和 Mac 電腦。

目前尚無此 CVE-2023-23529 的 CVSS 危險程度評分與評級相關資訊。

為修補此一漏洞，Apple 緊急發表新版 iOS 16.3.1、iPadOS 16.3.1、macOS Ventura 13.2.1；適用機種十分廣泛，包括 iPhone 8 與所有後續機型、iPad Pro 所有機型、iPad Air 第 3 代與後續機型、iPad 第 5 代與後續機型、iPad mini 第 5 代與後續機型，以及所有執行 macOS Ventura 的 Mac 電腦。

在這次發行的更新版 iOS、iPadOS、macOS 中，除了上述的 CVE-2022-23529 外，Apple 也同時修補另一個漏洞 CVE-2023-23514；該漏洞存於記憶體管理機制中，屬於使用已釋放記憶體漏洞，可讓駭侵者以核心權限執行任意程式碼。

• CVE 編號：CVE-2023-23529、CVE-2023-23514
• 影響產品資訊： iPhone 8 與所有後續機型、iPad Pro 所有機型、iPad Air 第 3 代與後續機型、iPad 第 5 代與後續機型、iPad mini 第 5 代與後續機型，以及所有執行 macOS Ventura 的 Mac 電腦
• 解決方案：升級到  iOS 16.3.1、iPadOS 16.3.1、macOS Ventura 13.2.1
   
• 參考連結

About the security content of iOS 16.3.1 and iPadOS 16.3.1

https://support.apple.com/en-us/HT213635

About the security content of macOS Ventura 13.2.1

https://support.apple.com/en-us/HT213633

Apple fixes new WebKit zero-day exploited to hack iPhones, Macs

https://www.bleepingcomputer.com/news/security/apple-fixes-new-webkit-zero-day-exploited-to-hack-iphones-macs/