按 Enter 到主內容區
:::

TWCERT-電子報

:::

Apple 於 iOS 15.2 中修補嚴重 RCE 漏洞,可導致駭侵者在 15 秒內挾持裝置控制權

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2021-12-24
  • 點閱次數:43
Apple 於 iOS 15.2 中修補嚴重 RCE 漏洞,可導致駭侵者在 15 秒內挾持裝置控制權 TWCERT/CC

CVE編號

CVE-2021-30955 等

內文

Apple 推出 iOS 15.2,修復可讓駭侵者於 15 秒內即可破解的漏洞;該漏洞可導致駭侵者快速破解裝置保護,遠端執行任意程式碼。

Apple 近期推出的 iOS 15.2 新版作業系統更新,修復一個可讓駭侵者於 15 秒內即可破解的漏洞 CVE-2021-30955;該漏洞存於舊版 iOS 系統中的 Mobile Safari 瀏覽器,可導致駭侵者快速破解裝置保護,遠端執行任意程式碼。

該漏洞曾在 2021 年 10 月於中國成都的「天府杯」資安大賽中,由一個名為「崑崙實驗室」的資安團隊,以 15 秒的時間,利用此漏洞快速完成「越獄」,破解最新上市且搭載當時最新 iOS 15.0.2 版本的 iPhone 13 Pro。

據資安專家表示,CVE-2021-30955 漏洞不只出現在 iOS 行動作業系統內,包括 Mac 電腦使用的作業系統 macOS,也含有此漏洞。

Apple 於近日推出一系列作業系統更新版本,包括 iOS 15.2、macOS Monterey 12.1、macOS Big Sur 11.6.2、macOS Catalina 資安更新 2021-008、iPadOS 15.2、tvOS 15.2、watchOS 8.3 等,除了解決上述的 CVE-2021-30955 嚴重 RCE 漏洞外,還更新了另外 8 個其他漏洞,較重要的如下列:

  • CVE-2021-30927、CVE-2021-30980:使用已釋放記憶體的漏洞,可導致駭侵者以核心權限執行任意程式碼;
  • CVE-2021-30937、CVE-2021-30949:均為記憶體崩潰漏洞,可導致駭侵者以核心權限執行任意程式碼;
  • CVE-2021-30993、CVE-2021-30983:均為緩衝區溢位漏洞,可導致惡意程式或位於特定網路位址的駭侵者執行任意程式碼。

各型 Apple 裝置用戶,應立即更新至上述最新版本作業系統,以修復上述已知漏洞。

影響產品

使用非最新版作業系統之 iPhone、iPad、Mac 電腦、Apple TV、Apple Watch

解決辦法

更新至 iOS 15.2、macOS Monterey 12.1、macOS Big Sur 11.6.2、macOS Catalina 資安更新 2021-008、iPadOS 15.2、tvOS 15.2、watchOS 8.3 及後續版本
回頁首