Apple 修復 iPhone 與 Mac 上 2 個 0-day 漏洞

Apple 日前發表新版 iOS 15.6.1、iPadOS 15.6.1 與 macOS Monterey 12.5.1,修復兩個已遭大規模用於攻擊的 0-day 漏洞;所有 iPhone、iPad、Mac 用戶應立即更新,以避免遭駭侵者透過未修補漏洞發動攻擊得逞。

 

獲得修復的 2 個 0-day 漏洞,都存在於 iOS、iPad OS 和 macOS 中。第一個漏洞為 CVE-2022-32894,存於作業系統核心內,是一個越界資訊寫入漏洞;駭侵者可透過該漏洞,以作業系統核心權限執行任意程式碼。

 

由於核心權限極大,因此取得核心權限執行的惡意程式,幾乎可以毫無限制地取用任何系統與軟硬體資源;亦即完全控制受駭的裝置。不過駭侵者需取得本機使用權,才能誘發此漏洞。

 

CVE-2022-32894 的 CVSS 危險程度評分為 8.4 分,危險程度評級為「高」。

第二個  0-day 漏洞 CVE-2022-32893 則發生在 iOS、iPad OS、macOS 中 WebKit 組件之中,該組件是系統預設瀏覽器 Safari 的核心,也會用在各種能存取 web 資源的 app 內。漏洞本身也是一種越界資訊寫入錯誤,發生於 Safari 對 html 內容的處理過程。

Apple 指出,該漏洞可讓駭侵者以特製的惡意網站來誘發,並藉以執行任意程式碼。該漏洞的 CVSS 危險程度評分亦為 8.4 分,危險程度評級為「高」。

此外,Apple 也指出,這兩個 0-day 漏洞顯然已遭駭侵者大規模濫用於駭侵攻擊之上,惟目前仍無這兩個漏洞造成任何損害或具體攻擊事件的情資。

由於 iPhone、iPad 與 Mac 的使用人數眾多,為避免用戶遭到駭侵者利用這些未修補漏洞發動攻擊,建議用戶應立即自官方管道更新作業系統。

CVE編號:CVE-2022-32894、CVE-2022-32893

影響產品(版本):執行 macOS Monterey 的各型 Mac 電腦、iPhone 6s 與後續機種、iPad Pro 全機種、iPad Air 2 與後續機種、iPad 第 5 代與後續機種、iPad mini 4 與後續機種、iPod Touch 第 7 代。

解決方案:升級至 macOS Monterey 12.5.1 與後續版本、iOS 15.6.1 與後續版本、iPad OS 15.6.1 與後續版本。

相關連結

  1. TWCERT/CC
  2. About the security content of macOS Monterey 12.5.1
  3. About the security content of iOS 15.6.1 and iPadOS 15.6.1
  4. Apple security updates fix 2 zero-days used to hack iPhones, Macs

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。

回到頂端