CVE編號 | CVE-2022-22620 |
---|---|
影響產品 | iPhone 6s 與後續各型機種、iPad Pro 全機種、iPad Air 2 與後續各型機種、iPad 第 5 代與後續各型機種、iPad mini 第 4 代與後續各型機種、iPod Touch 第 7 代、執行 macOS Monterey 的 Mac 電腦全機種。 |
解決辦法 | 升級至 iOS 15.3.1、iPad OS 15.3.1 與 macOS Monterey 12.2.1 或後續版本。 |
張貼日 | 2022-02-15 |
上稿單位 | TWCERT/CC |
Apple 日前釋出新版 iOS、iPadOS、macOS,修復一個可能已遭駭侵者廣為利用的 0-day 漏洞 CVE-2022-22620,用戶應立即更新各裝置作業系統至最新版本。
這個漏洞存於上述各種作業系統的內建瀏覽器核心 WebKit 內,屬於使用已釋放之記憶體的資安漏洞;駭侵者可利用特製的網頁內容誘發此漏洞,造成作業系統崩潰,並且在受害裝置上遠端執行任意程式碼。
Apple 在產品更新說明中也指出,該公司已接獲此漏洞可能已遭駭侵者大規模濫用於駭侵攻擊的報告。
受此漏洞影響的 Apple 產品如下:
- iPhone 6s 與後續各型機種;
- iPad Pro 全機種;
- iPad Air 2 與後續各型機種;
- iPad 第 5 代與後續各型機種;
- iPad mini 第 4 代與後續各型機種;
- iPod Touch 第 7 代;
- 執行 macOS Monterey 的 Mac 電腦全機種。
Apple 表示,在新推出的 iOS 15.3.1、iPad OS 15.3.1 與 macOS Monterey 12.2.1 中,針對記憶體管理機制進行改善,從而修復此一漏洞。
資安專家指出,雖然目前接獲的情資顯示,此漏洞僅遭駭侵者使用於目標定向駭侵攻擊,尚未出現目標較廣泛的資安攻擊行動,但仍建議擁有上述裝置的用戶,應立即透過系統更新功能,將裝置上的 iOS、iPadOS、macOS 更新至最新版本,以避免潛在的資安攻擊風險。