按 Enter 到主內容區
:::

TWCERT-電子報

:::

Apple 修復新發現的 WebKit 0-day 漏洞 CVE-2023-23529

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2023-02-14
  • 點閱次數:363
Apple 修復新發現的 WebKit 0-day 漏洞 CVE-2023-23529 twcertcc

CVE編號

CVE-2023-23529、CVE-2023-23514

內文

Apple 日前緊急推出新版 iOS、iPadOS、macOS,以修補一個新發現的 WebKit 0-day 漏洞 CVE-2023-23529;該漏洞可讓駭侵者用於執行任意程式碼。

編號 CVE-2023-23529 的這個全新 0-day 漏洞,是一個存於 WebKit 瀏覽器引擎的錯誤,駭侵者可利用特製的網頁內容來誘發此錯誤發生,並且執行任意程式碼,以發動進一步的駭侵攻擊。

Apple 在資安通報中也表示,該漏洞可能已經遭到廣泛濫用於駭侵攻擊。該漏洞存內建 WebKit 引擎且執行舊版作業系統的 iPhone、iPad 和 Mac 電腦。

目前尚無此 CVE-2023-23529 的 CVSS 危險程度評分與評級相關資訊。

為修補此一漏洞,Apple 緊急發表新版 iOS 16.3.1、iPadOS 16.3.1、macOS Ventura 13.2.1;適用機種十分廣泛,包括 iPhone 8 與所有後續機型、iPad Pro 所有機型、iPad Air 第 3 代與後續機型、iPad 第 5 代與後續機型、iPad mini 第 5 代與後續機型,以及所有執行 macOS Ventura 的 Mac 電腦。

在這次發行的更新版 iOS、iPadOS、macOS 中,除了上述的 CVE-2022-23529 外,Apple 也同時修補另一個漏洞 CVE-2023-23514;該漏洞存於記憶體管理機制中,屬於使用已釋放記憶體漏洞,可讓駭侵者以核心權限執行任意程式碼。

影響產品

iPhone 8 與所有後續機型、iPad Pro 所有機型、iPad Air 第 3 代與後續機型、iPad 第 5 代與後續機型、iPad mini 第 5 代與後續機型,以及所有執行 macOS Ventura 的 Mac 電腦。

解決辦法

升級到 iOS 16.3.1、iPadOS 16.3.1、macOS Ventura 13.2.1。
回頁首