按 Enter 到主內容區
:::

TWCERT-電子報

:::

Apple 修復兩個可用於駭侵 iOS、iPadOS 與 macOS 裝置的 0-day 漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-01-28
  • 點閱次數:458
Apple 修復兩個可用於駭侵 iOS、iPadOS 與 macOS 裝置的 0-day 漏洞 TWCERT/CC

CVE編號

CVE-2022-22587、CVE-2022-22594

內文

Apple 日前修復兩個可用於駭入用戶 iOS 與 macOS 裝置的 0-day 漏洞,一個可以遠端執行任意程式碼,另一個可用於追蹤使用者。用戶應立即更新裝置,以避免相關資安攻擊風險。

第一個獲得修補的漏洞,其 CVE 編號為 CVE-2022-22587,是發生於 IOMobleFrameBuffer 的記憶體崩潰漏洞;受影響的裝置包括多種 iOS、iPadOS 與 macOS 裝置,如 iPhone 6s 與後續機種、iPad Pro 全機種、iPad Air 2 與後續機種、iPad 第 5 代與後續機種、iPad mini 4 與後續機種、iPod Touch 第七代、執行 macOS Monterey 的所有 Mac 機種。

駭侵者可利用此漏洞,在受駭裝置以上 kernel 權限遠端執行任意程式碼。

Apple 公司在軟體更新說明中表示,該公司已知悉此漏洞可能已遭不肖分子積極利用於駭侵攻擊活動。

第二個獲得修補的漏洞為 CVE-2022-22594,存於 iOS 與 iPadOS 中的 Safari WebKit 的 IndexDB 組件中,Safari 在對輸入字串進行驗證時發生漏洞;駭侵者可利用此漏洞取得用戶的各種可識別資訊,對用戶的瀏覽行為進行即時追蹤。

受此漏洞影響的 iOS 與 iPadOS 裝置,包括 iPhone 6s 與後續機種、iPad Pro 全機種、iPad Air 2 與後續機種、iPad 第 5 代與後續機種、iPad mini 4 與後續機種、iPod Touch 第七代。

這兩個 0-day 均於日前 Apple 發行的 iOS 15.3 與 iPadOS 15.3 資安更新中獲得修補,各類 Apple 產品用戶,均應立即將作業系統更新至最新版本,以避免裝置因含有上述資安漏洞,因而曝露於高度駭侵攻擊風險之中。

影響產品

iPhone 6s 與後續機種、iPad Pro 全機種、iPad Air 2 與後續機種、iPad 第 5 代與後續機種、iPad mini 4 與後續機種、iPod Touch 第七代、執行 macOS Monterey 的所有 Mac 機種。

解決辦法

更新至 iOS、iPadOS 15.3 與後續版本、macOS Monterey 12.2 與後續版本。
回頁首