close

_04_2023.04.10_Apple_修復_2_個可攻擊_iPhone_和_Mac_的_0-day_漏洞

Apple 於日前推出新版 iOS 16.4.1、iPadOS 16.4.1、macOS Ventura 13.3.1,解決兩個已遭駭侵者用於攻擊的 0-day 漏洞 CVE-2023-28206 與 CVE-2023-28205;iPhone、iPad 與 Mac 用戶應立即進行更新。

據 Apple 發表的資安通報指出,Apple 已接獲相關情報指出,這兩個 0-day 漏洞已遭到駭侵者積極用於攻擊活動。

頭一個 0-day 漏洞為 CVE-2023-28206,是存於 IOSurfaceAccelerator 中的越界寫入漏洞,可造成資料與系統崩潰,進而讓駭侵者可執行任意程式碼。

駭侵者可利用特製的惡意 App 來誘發此漏洞,以系統權限在受攻擊的裝置上執行任意程式碼。該漏洞的 CVSS 危險程度評分高達 9.8 分(滿分為 10 分),其危險程度評級亦為最高等級的「嚴重」(Critical)。

另一個這次獲得修補的 0-day 漏洞為 CVE-2023-28205,是存於 WebKit 內的記憶體釋放後使用漏洞;駭侵者可誘使受害者前往含有惡意程式碼的網頁,誘發此漏洞造成資料崩潰,接著即可在受害者裝置上執行任意程式碼。

受到這兩個漏洞影響的 Apple 產品,包括 iPhone 8 與後續機型、iPad Pro 全系列所有機型、iPad Air 第 3 代與後續機型、iPad 第 5 代與後續機型、iPad mini 第 5 代與後續機型、所有執行 macOS Ventura 的 Mac 各款電腦。

建議受影響之 iPhone、iPad、Mac 用戶應立即升級至新版 iOS 16.4.1、iPadOS 16.4.1、macOS Ventura 13.3.1,以修補這兩個 0-day 漏洞。

  • 參考連結

About the security content of macOS Ventura 13.3.1

https://support.apple.com/en-us/HT213721

Apple fixes two zero-days exploited to hack iPhones and Macs

https://www.bleepingcomputer.com/news/apple/apple-fixes-two-zero-days-exploited-to-hack-iphones-and-macs/

arrow
arrow
    文章標籤
    TWCERTCC TWCERT 台灣電腦網路危機處理暨協調中心 Apple iPhone Mac 0-day 資安漏洞
    全站熱搜

    twcert 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄