按 Enter 到主內容區
:::

TWCERT-電子報

:::

蘋果推出 iOS 14.4,一次修復三個 0-day 嚴重資安漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2021-01-29
  • 點閱次數:1208
蘋果推出 iOS 14.4,一次修復三個 0-day 嚴重資安漏洞 TWCERT/CC

CVE編號

CVE-2021-1782、CVE-2021-1870、CVE-2021-1871

內文

Apple 日前推出最新版 iOS 14.4,同時修復三個 0-day 漏洞,其中有兩個可使駭侵者遠端執行任意程式碼; iOS 裝置用戶應立即更新到最新版本。

Apple 日前推出最新版 iOS 14.4、iPadOS 14.4,同時修復三個 0-day 漏洞,其中有兩個可使駭侵者遠端執行任意程式碼; iOS 裝置用戶應立即更新到最新版本。

在 Apple 隨著新版 iOS 與 iPadOS 發表的資安更新文件中指出,這次得到更新的三個 0-day 漏洞,其 CVE 編號分別為 CVE-2021-1782、CVE-2021-1870、CVE-2021-1871。

其中 CVE-2021-1782 屬於「執行權限提升」型資安漏洞,發生在 iOS 與 iPadOS 的作業系統核心區;駭侵者可利用此漏洞,提升自己在作業系統中的執行權限。Apple 指出該公司已發現這個漏洞遭到大規模利用。

CVE-2021-1782 的 CVSS 危險程度評分為 8.4 分,其危險等級為「高」。

另外兩個得到修復的 0-day 資安漏洞 CVE-2021-1870 與 CVE-2021-1871,都發生在 Safari 瀏覽器使用的 WebKit 引擎核心。駭侵者可以利用這兩個漏洞,遠端執行任意程式碼。同樣的,Apple 在說明文件中也表示,已經收到駭侵者大規模利用這兩個漏洞發動攻擊行動的通報。

CVE-2021-1870 和 CVE-2021-1871 的 CVSS 危險程度評分,和前一個漏洞 CVE-2021-1782 相同,也是 8.4 分,其危險等級同樣為「高」。

Apple 指出,以下 iOS 裝置的使用者,包括 iPhone 6s 與所有後續機種、iPad Air 2 與所有後續機種、iPad mini 4 與所有後續機種,以及 iPod touch(第 7 代),都應立即更新為 iOS 14.4 或 iPadOS 14.4,以避免遭到駭侵者利用這三個 0-day 漏洞發動攻擊。

影響產品

iPhone 6s 與所有後續機種、iPad Air 2 與所有後續機種、iPad mini 4 與所有後續機種,以及 iPod touch(第 7 代)

解決辦法

立即更新至 iOS 14.4 或 iPadOS 14.4
回頁首