按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心

:::

iPhone 0-day 越獄漏洞得到修補

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-06-04
  • 點閱次數:540
iPhone 0-day 越獄漏洞得到修補 TWCERT/CC

針對被發現且已遭利用的 iOS 嚴重 0-day 漏洞,Apple 立即推出 iOS 小改版升級,以修補此一漏洞。

這個編號為 CVE-2020-9859 的 0-day 漏洞,是在上周公開,且已遭 iOS 裝置越獄軟體 Unc0ver jailbreak 利用來破解各型 iOS 裝置。而在 Apple 發表的 iOS 更新中,已經修補了這個漏洞。

這個漏洞的發生原因,是在系統處理記憶體資料時的問題,可讓駭侵者以核心權限執行任意程式碼。能夠取得核心執行權限,基本上就能在 iOS 系統中為所欲為,駭侵者可用以竊取資訊、攔截並修改程式或資料,當然也能執行更多惡意軟體。

Unc0ver 越獄程式支援的 iOS 版本範圍相當廣,甚至連最新版的 iOS 13.5 都可利用此越獄程式加以破解。

這類越獄程式雖然可讓 iOS 裝置用戶安裝使用各種非官方 App,或是突破 Apple 因為各種商業或資安考量在系統設立的限制,讓越獄用戶更能完全控制其裝置,但這也給駭侵者大開方便之門;駭侵者將能繞過 Apple 原先設計的各種資安關卡,在越獄用戶無法查覺的情形下,於其裝置植入惡意軟體。

Apple 呼籲所有 iOS 裝置用戶,包括 iPhone、iPad、Apple TV、HomePod、Apple Watch 的使用者,都應透過系統更新服務,立即更新到最新版的 iOS 作業系統,以避免因為這個 0-day 漏洞而遭到駭侵攻擊。

  • CVE編號:CVE-2020-9859
  • 影響產品/版本:iOS 13.5 以前、iPad OS 13.5 以前、watchOS 6.2.5 以前、tvOS 13.4.5 以前各版
  • 解決方案:透過系統更新服務,升級到最新版本 iOS
回頁首