Apple 修復兩個可用於駭侵 iOS、iPadOS 與 macOS 裝置的 0-day 漏洞

Apple 日前修復兩個可用於駭入用戶 iOS 與 macOS 裝置的 0-day 漏洞,一個可以遠端執行任意程式碼,另一個可用於追蹤使用者。用戶應立即更新裝置,以避免相關資安攻擊風險。

第一個獲得修補的漏洞,其 CVE 編號為 CVE-2022-22587,是發生於 IOMobleFrameBuffer 的記憶體崩潰漏洞;受影響的裝置包括多種 iOS、iPadOS 與 macOS 裝置,如 iPhone 6s 與後續機種、iPad Pro 全機種、iPad Air 2 與後續機種、iPad 第 5 代與後續機種、iPad mini 4 與後續機種、iPod Touch 第七代、執行 macOS Monterey 的所有 Mac 機種。

駭侵者可利用此漏洞,在受駭裝置以上 kernel 權限遠端執行任意程式碼。

Apple 公司在軟體更新說明中表示,該公司已知悉此漏洞可能已遭不肖分子積極利用於駭侵攻擊活動。

第二個獲得修補的漏洞為 CVE-2022-22594,存於 iOS 與 iPadOS 中的 Safari WebKit 的 IndexDB 組件中,Safari 在對輸入字串進行驗證時發生漏洞;駭侵者可利用此漏洞取得用戶的各種可識別資訊,對用戶的瀏覽行為進行即時追蹤。

受此漏洞影響的 iOS 與 iPadOS 裝置,包括 iPhone 6s 與後續機種、iPad Pro 全機種、iPad Air 2 與後續機種、iPad 第 5 代與後續機種、iPad mini 4 與後續機種、iPod Touch 第七代。

這兩個 0-day 均於日前 Apple 發行的 iOS 15.3 與 iPadOS 15.3 資安更新中獲得修補,各類 Apple 產品用戶,均應立即將作業系統更新至最新版本,以避免裝置因含有上述資安漏洞,因而曝露於高度駭侵攻擊風險之中。

  • CVE編號:CVE-2022-22587、CVE-2022-22594
  • 影響產品(版本): iPhone 6s 與後續機種、iPad Pro 全機種、iPad Air 2 與後續機種、iPad 第 5 代與後續機種、iPad mini 4 與後續機種、iPod Touch 第七代、執行 macOS Monterey 的所有 Mac 機種。
  • 解決方案:更新至 iOS、iPadOS 15.3 與後續版本、macOS Monterey 12.2 與後續版本

  • 參考連結

About the security content of iOS 15.3 and iPadOS 15.3

https://support.apple.com/en-us/HT213053

About the security content of macOS Monterey 12.2

https://support.apple.com/en-us/HT213054

Apple fixes new zero-day exploited to hack macOS, iOS devices

https://www.bleepingcomputer.com/news/apple/apple-fixes-new-zero-day-exploited-to-hack-macos-ios-devices/

創作者介紹
創作者 台灣電腦網路危機處理暨協調中心-TWCERT/CC 的頭像
twcert

台灣電腦網路危機處理暨協調中心-TWCERT/CC

twcert 發表在 痞客邦 留言(0) 人氣( 0 )