Apple 修復兩個可用於駭侵 iOS、iPadOS 與 macOS 裝置的 0-day 漏洞
- 發布單位:TWCERT/CC
- 更新日期:2022-01-28
- 點閱次數:458
CVE編號
內文
Apple 日前修復兩個可用於駭入用戶 iOS 與 macOS 裝置的 0-day 漏洞,一個可以遠端執行任意程式碼,另一個可用於追蹤使用者。用戶應立即更新裝置,以避免相關資安攻擊風險。
第一個獲得修補的漏洞,其 CVE 編號為 CVE-2022-22587,是發生於 IOMobleFrameBuffer 的記憶體崩潰漏洞;受影響的裝置包括多種 iOS、iPadOS 與 macOS 裝置,如 iPhone 6s 與後續機種、iPad Pro 全機種、iPad Air 2 與後續機種、iPad 第 5 代與後續機種、iPad mini 4 與後續機種、iPod Touch 第七代、執行 macOS Monterey 的所有 Mac 機種。
駭侵者可利用此漏洞,在受駭裝置以上 kernel 權限遠端執行任意程式碼。
Apple 公司在軟體更新說明中表示,該公司已知悉此漏洞可能已遭不肖分子積極利用於駭侵攻擊活動。
第二個獲得修補的漏洞為 CVE-2022-22594,存於 iOS 與 iPadOS 中的 Safari WebKit 的 IndexDB 組件中,Safari 在對輸入字串進行驗證時發生漏洞;駭侵者可利用此漏洞取得用戶的各種可識別資訊,對用戶的瀏覽行為進行即時追蹤。
受此漏洞影響的 iOS 與 iPadOS 裝置,包括 iPhone 6s 與後續機種、iPad Pro 全機種、iPad Air 2 與後續機種、iPad 第 5 代與後續機種、iPad mini 4 與後續機種、iPod Touch 第七代。
這兩個 0-day 均於日前 Apple 發行的 iOS 15.3 與 iPadOS 15.3 資安更新中獲得修補,各類 Apple 產品用戶,均應立即將作業系統更新至最新版本,以避免裝置因含有上述資安漏洞,因而曝露於高度駭侵攻擊風險之中。