• 發布單位:TWCERT/CC
• 更新日期:2023-12-14
• 點閱次數:216

Apple 近日推出緊急資安更新，修復 2 個存於 iPhone、Pad 與 Mac 設備中新發現的 2 個 0-day 漏洞 CVE-2023-42916 與 CVE-2023-42917，使用者應立即套用更新。

CVE-2023-42916 與 CVE-2023-42917 都是存於 WebKit 瀏覽器引擎，屬於越界讀取漏洞；駭侵者可利用特製的網頁來誘發記憶體崩潰，藉以竊取使用者的機敏資訊，甚至執行任意程式碼。

Apple 也在對外發表的資安更新通報中指出，該公司已獲悉這兩個漏洞已遭駭侵者用於駭侵攻擊之中的情報；遭到攻擊的是執行 iOS 16.7.1 先前版本的 iOS 設備。

Apple 也列出受到影響的各種設備型號，受影響裝置範圍相當廣泛：

• iPhone Xs 與後續機型；
• iPad Pro 12.9 吋 (第 2 代) 與後續機型、iPad Pro 10.5 吋、iPad Pro 11 吋 (第 1 代) 與後續機型、iPad Air (第 3 代) 與後續機型、iPad (第 6 代) 與後續機型、iPad mini (第 5 代) 與後續機型；
• 執行 macOS Montery、Ventura 與 Sonoma 的所有 Mac 機型。

Apple 針對這兩個 0-day 漏洞推出的緊急更新版本為 iOS 17.1.2、iPadOS 17.1.2、 macOS Sonoma 14.1.2 與 Safari 17.1.2，使用者應立即更新到最新版本，以避免駭侵者利用已知漏洞發動攻擊得逞。

CVE 編號：CVE-2023-42916 與 CVE-2023-42917

解決方案：使用者應立即更新到最新版本 iOS 17.1.2、iPadOS 17.1.2、 macOS Sonoma 14.1.2 與 Safari 17.1.2，以避免駭侵者利用已知漏洞發動攻擊得逞。