Apple 近日發表 iOS 15.7.4 與 iPadOS 15.7.4，其中針對舊款 iPhone 與 iPad 上已遭大規模濫用於攻擊的一個 0-day 漏洞進行修復。

這個 CVE-2023-23529 0-day 漏洞發生在 WebKit 瀏覽器子系統中，屬於類型混淆漏洞；駭侵者可利用特製的網頁內容來誘發此漏洞，造成作業系統崩潰，進而取得足夠權限，在受害的 iPhone 或 iPad 上執行任意程式碼，也可以取得該系統控制權。

本漏洞的 CVSS 危險程度評分高達 8.8 分（滿分為 10 分），危險程度評級為「高」（high）等級。

在此次更新中，Apple 強化了類型檢查的強度，以避免此漏洞的發生。

Apple 在 iOS 15.7.4 與 iPad 15.7.4 的發行註記說明中表示，該公司已得知此漏洞已遭大規模用於駭侵攻擊的情報；不過在該說明中並未明確指出攻擊活動的相關情報。

這個漏洞影響的 Apple iPhone 與 iPad 機型，以舊款為主，包括 iPhone 6s 所有機型、iPhone 7 所有機型、iPhone SE（第 1 代）、iPad Air 2、iPad mini（第 4 代）、iPod Touch（第 7 代）等。

除了上述的 CVE-2023-23529 0-day 漏洞外，Apple 在這次發行的 iOS 15.7.4 與 iPadOS 15.7.4 更新中，也修復了另外 15 個資安漏洞。

• CVE 編號：CVE-2023-23529
• 影響產品： iPhone 6s 所有機型、iPhone 7 所有機型、iPhone SE（第 1 代）、iPad Air 2、iPad mini（第 4 代）、iPod Touch（第 7 代）等。
• 解決方案：由於各款受影響 iPhone 與 iPad 仍有廣大使用者，建議用戶應立即進行系統軟體更新，以修補這些已發現的漏洞。
   
• 參考連結

About the security content of iOS 15.7.4 and iPadOS 15.7.4

https://support.apple.com/en-us/HT213673

Apple fixes recently disclosed WebKit zero-day on older iPhones

https://www.bleepingcomputer.com/news/apple/apple-fixes-recently-disclosed-webkit-zero-day-on-older-iphones/