按 Enter 到主內容區
:::

TWCERT-電子報

:::

Apple 推出 iOS、macOS 緊急更新,修補可能遭用於 NSA Pegasus 間諜軟體的 0-day 漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2021-09-17
  • 點閱次數:51
Apple 推出 iOS、macOS 緊急更新,修補可能遭用於 NSA Pegasus 間諜軟體的 0-day 漏洞 TWCERT/CC

Apple 緊急修復 iOS 中的 2 個 0-day 漏洞,該漏洞過去曾遭間諜軟體 Pegasus 大規模用於攻擊 iPhone 與 Mac 裝置,以進行竊聽與資料竊取。

Apple 推出用於新版 Mac、iOS 裝置的作業系統更新,以緊急修復 iOS 中的 2 個 0-day 漏洞,該漏洞過去曾遭以色列間諜軟體 Pegasus 大規模用於攻擊 iPhone 與 Mac 裝置,以進行竊聽與資料竊取。

獲得修復的 2 個 0-day 漏洞分別是 CVE-2021-30860 與 CVE-2021-30858;CVE-2021-30860 是存於 iOS 與 macOS 中 CoreGraphics 子系統的整數溢位漏洞,駭侵者可利用特製的 PDF 檔案誘發此漏洞,在 iOS 與 macOS 中執行任意程式碼。

另外,CVE-2021-30858 則是一個存於 WebKit 瀏覽器核心引擎中的「使用已釋放記憶體」(use after free)漏洞;駭侵者可利用特製的網頁,在 iPhone 與 Mac 電腦上 執行任意程式碼。

資安廠商 Citizen Lab 的研究人員指出,這兩個漏洞過去都曾遭駭侵者大規模濫用,特別是以色列科技保全公司 NSA 開發的 Pegasus 惡意間諜軟體,可能涉及利用這兩個 0-day 漏洞,讓某些國家的情報單位,針對特定人士進行大規模監聽。

Apple 這次推出的大規模更新,在作業系統方面包括 iOS 14.8、iPad OS 14.8、iPod Touch、Mac 各型電腦、Apple Watch 等硬體裝置;舊版的 macOS Catalina 與 macOS Mojave 中的 Safari 瀏覽器也有更新版本推出,用戶應立即透過系統更新進行漏洞修補,以免遭駭侵者繼續利用未更新的漏洞攻擊。

回頁首