• 發布單位:TWCERT/CC
• 更新日期:2023-04-17
• 點閱次數:185

Apple 於日前推出新版 iOS 16.4.1、iPadOS 16.4.1、macOS Ventura 13.3.1，解決兩個已遭駭侵者用於攻擊的 0-day 漏洞 CVE-2023-28206 與 CVE-2023-28205；iPhone、iPad 與 Mac 用戶應立即進行更新。

據 Apple 發表的資安通報指出，Apple 已接獲相關情報指出，這兩個 0-day 漏洞已遭到駭侵者積極用於攻擊活動。

頭一個 0-day 漏洞為 CVE-2023-28206，是存於 IOSurfaceAccelerator 中的越界寫入漏洞，可造成資料與系統崩潰，進而讓駭侵者可執行任意程式碼。

駭侵者可利用特製的惡意 App 來誘發此漏洞，以系統權限在受攻擊的裝置上執行任意程式碼。該漏洞的 CVSS 危險程度評分高達 9.8 分（滿分為 10 分），其危險程度評級亦為最高等級的「嚴重」（Critical）。

另一個這次獲得修補的 0-day 漏洞為 CVE-2023-28205，是存於 WebKit 內的記憶體釋放後使用漏洞；駭侵者可誘使受害者前往含有惡意程式碼的網頁，誘發此漏洞造成資料崩潰，接著即可在受害者裝置上執行任意程式碼。

受到這兩個漏洞影響的 Apple 產品，包括 iPhone 8 與後續機型、iPad Pro 全系列所有機型、iPad Air 第 3 代與後續機型、iPad 第 5 代與後續機型、iPad mini 第 5 代與後續機型、所有執行 macOS Ventura 的 Mac 各款電腦。

建議受影響之 iPhone、iPad、Mac 用戶應立即升級至新版 iOS 16.4.1、iPadOS 16.4.1、macOS Ventura 13.3.1，以修補這兩個 0-day 漏洞。