• 發布單位:TWCERT/CC
• 更新日期:2023-09-28
• 點閱次數:260

Apple 日前緊急推出 iOS/macOS/iPadOS 和 watchOS 更新，解決 3 個已遭用於駭侵攻擊的 0-day 漏洞，用戶應立即更新相關裝置內的舊版作業系統，以免遭到駭侵者利用已知漏洞發動攻擊得逞。

在這次發現的 3 個 0-day 漏洞中，第一個 CVE-2023-41993 係存於 WebKit 瀏覽器引擎內，第二個 CVE-2023-41991 則存於資安框架 (Security framework) 中；駭侵者可利用特製的網頁來誘發這兩個漏洞發生錯誤，藉以跳過數位簽署驗證機制以執行惡意 App，或是用以執行任意程式碼。

第三個漏洞 CVE-2023-41992 存於核心框架（Kernel Framework）中；核心框架提供 API 與支援，以供核心擴充套件與存於核心的裝置驅動程式使用。本地駭侵者可利用此漏洞來提升執行權限。

Apple 在發布的資安通報中指出，該公司已接獲這三個漏洞已遭駭侵者攻擊 iOS 16.7 之前版本作業系統的情資。

受到影響的裝置如下：

• iPhone 8 與後續機型；
• iPad mini (第 5 代) 與後續機型；
• 執行 macOS Montery 與後續版本的 Mac 電腦；
• Apple Watch Series 4 與後續機型。

Apple 緊急推出的作業系統新版本為 macOS 12.7/13.6、iOS 16.7/17.0.1、iPadOS 16.7/17.0.1、watchOS 9.6.3/10.0.1；上述機型的使用者應立即更新系統，以避免遭到駭侵者利用已知漏洞發動攻擊。