Apple 近日推出緊急資安更新，修復 2 個存於 iPhone、Pad 與 Mac 設備中新發現的 2 個 0-day 漏洞 CVE-2023-42916 與 CVE-2023-42917，使用者應立即套用更新。

CVE-2023-42916 與 CVE-2023-42917 都是存於 WebKit 瀏覽器引擎，屬於越界讀取漏洞；駭侵者可利用特製的網頁來誘發記憶體崩潰，藉以竊取使用者的機敏資訊，甚至執行任意程式碼。

Apple 也在對外發表的資安更新通報中指出，該公司已獲悉這兩個漏洞已遭駭侵者用於駭侵攻擊之中的情報；遭到攻擊的是執行 iOS 16.7.1 先前版本的 iOS 設備。

Apple 也列出受到影響的各種設備型號，受影響裝置範圍相當廣泛：

• iPhone Xs 與後續機型；
• iPad Pro 12.9 吋 (第 2 代) 與後續機型、iPad Pro 10.5 吋、iPad Pro 11 吋 (第 1 代) 與後續機型、iPad Air (第 3 代) 與後續機型、iPad (第 6 代) 與後續機型、iPad mini (第 5 代) 與後續機型；
• 執行 macOS Montery、Ventura 與 Sonoma 的所有 Mac 機型。

Apple 針對這兩個 0-day 漏洞推出的緊急更新版本為 iOS 17.1.2、iPadOS 17.1.2、 macOS Sonoma 14.1.2 與 Safari 17.1.2，使用者應立即更新到最新版本，以避免駭侵者利用已知漏洞發動攻擊得逞。
 

• CVE 編號：CVE-2023-42916 與 CVE-2023-42917
   
• 影響產品：
  • iPhone Xs 與後續機型；
  • iPad Pro 12.9 吋 (第 2 代) 與後續機型、iPad Pro 10.5 吋、iPad Pro 11 吋 (第 1 代) 與後續機型、iPad Air (第 3 代) 與後續機型、iPad (第 6 代) 與後續機型、iPad mini (第 5 代) 與後續機型；
  • 執行 macOS Montery、Ventura 與 Sonoma 的所有 Mac 機型。
     
• 解決方案：使用者應立即更新到最新版本 iOS 17.1.2、iPadOS 17.1.2、 macOS Sonoma 14.1.2 與 Safari 17.1.2，以避免駭侵者利用已知漏洞發動攻擊得逞。

• 參考連結

About the security content of iOS 17.1.2 and iPadOS 17.1.2

https://support.apple.com/en-us/HT214031

Apple fixes two new iOS zero-days in emergency updates

https://www.bleepingcomputer.com/news/apple/apple-fixes-two-new-ios-zero-days-in-emergency-updates/