Apple 近日修復 3 個可讓駭侵者用以攻擊 iPhone 與 Mac 等多款 Apple 產品的 0-day 漏洞 CVE-2023-32409、CVE-2023-28204、CVE-2023-32373。iPhone 與 Mac 使用者應儘速更新,以降低遭駭侵者以已知漏洞發動攻擊的風險。
據 Apple 這三個漏洞都存於跨平台的 WebKit 瀏覽器引擎。頭一個漏洞 CVE-2023-32409 為一個沙箱跨越漏洞,可讓遠端駭侵者跳過 Web 內容沙箱的侷限,影響到沙箱以外的操作環境。
至於另外兩個漏洞,駭侵者都可以利用特制的網頁內容來觸發。其中一個屬於越界讀取錯誤(out-of-bounds read),駭侵者可藉以取得機敏資訊;另一個則是屬於釋放後使用(use-after-free)的錯誤,駭侵者可透過此漏洞遠端執行任意程式碼。
受到此漏洞影響的裝置相當多,包括 iPhone 6s(所有機型)、iPhone 7(所有機型)、iPhone SE(第 1 代)、iPad Air 2、iPad mini(第 4 代)、iPod Touch(第 7 代)、iPhone 8 與後續機型、iPad Pro(所有機型)、iPad Air(第 3 代與後續機型)、iPad(第 5 代與後續機型)、iPad mini(第 5 代與後續機型)、所有執行 macOS Big Sur、Monterey 與 Ventura 的 Mac 電腦、Apple Watch Series 4 與後續機型、Apple TV 4K(所有機型)、Apple TV HD。
Apple 在新推出的 iOS、iPadOS 16.5、macOS Ventura 13.4、tvOS 16.5、watchOS 9.5、Safari 16.5 中強化了邊界檢查、輸入驗證和記憶體管理,解決了這 3 個 0-day 漏洞。
- CVE 編號:CVE-2023-32409 等
- 影響產品:iPhone 6s(所有機型)、iPhone 7(所有機型)、iPhone SE(第 1 代)、iPad Air 2、iPad mini(第 4 代)、iPod Touch(第 7 代)、iPhone 8 與後續機型、iPad Pro(所有機型)、iPad Air(第 3 代與後續機型)、iPad(第 5 代與後續機型)、iPad mini(第 5 代與後續機型)、所有執行 macOS Big Sur、Monterey 與 Ventura 的 Mac 電腦、Apple Watch Series 4 與後續機型、Apple TV 4K(所有機型)、Apple TV HD。
- 解決方案:立即升級到 iOS、iPadOS 16.5、macOS Ventura 13.4、tvOS 16.5、watchOS 9.5、Safari 16.5
- 參考連結
About the security content of iOS 16.5 and iPadOS 16.5
https://support.apple.com/en-us/HT213757
Apple fixes three new zero-days exploited to hack iPhones, Macs
留言列表