按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心

:::

Apple 修復兩個恐已遭用於攻擊的 0-day 漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2021-05-04
  • 點閱次數:1255
Apple 修復兩個恐已遭用於攻擊的 0-day 漏洞 TWCERT/CC

Apple 於日前緊急推出 iOS 14.5.1、 macOS Big Sur 等作業系統更新,修復兩個可能讓駭侵者遠端執行任意程式碼的嚴重 0-day 漏洞,iOS 與 Mac、Apple Watch 裝置用戶應立即更新。

Apple 於日前緊急推出 iOS 14.5.1、macOS BIg Sur 11.3.1、watchOS 7.4.1 更新,修復兩個可能讓駭侵者遠端執行任意程式碼的嚴重 0-day 漏洞;由於這兩個漏洞很可能已遭駭侵者用於攻擊,因此各種 iOS、Mac、Apple Watch 裝置的用戶應立即進行系統更新。

這兩個 0-day 漏洞都發生在系統網頁瀏覽器核心 WebKit 中。根據 Apple 發表的資安更新通報指出,CVE-2021-30665 的問題在狀態管理的錯誤,可能導致記憶體崩潰,而 CVE-2021-30663 則是輸入驗證發生錯誤,可能導致整數溢位錯誤。

駭侵者可以誘導受害者前往瀏覽特製的網頁,誘發上述 WebKit 錯誤後,即可利用這兩個漏洞,遠端執行任意程式碼,進而發動攻擊活動。

由於 WebKit 同為 Mac 電腦和 iOS 行動裝置内建預設的瀏覽器核心引擎,因此必須更新的裝置種類和數量極多;以 iOS 裝置來說,即包括 iPhone 6s 與之後所有機種、, iPad Pro 全系列、 iPad Air 2 與之後所有機種、iPad 第 5 代與之後所有機種、iPad mini 4 與之後所有機種、iPod touch 第 7 代等,當然還包括 iMac、Mac Pro、Macbook、Macbook Air、Macbook Pro 等多種 Mac 電腦,甚至也包括 Apple Watch Series 3 後所有機種。駭侵者如果能有效利用這兩個 0-day 漏洞,就可能對數量眾多的 iOS、macOS 與 Apple Watch 用戶造成嚴重威脅。

  • CVE編號:CVE-2021-30665、CVE-2021-30663
  • 影響產品/版本:
  1. iPhone 6s 與之後所有機種、iPad Pro 全系列、iPad Air 2 與之後所有機種、iPad 第 5 代與之後所有機種、iPad mini 4 與之後所有機種、iPod touch 第 7 代
  2. iMac、Mac Pro、Macbook、Macbook Air、Macbook Pro 等多種 Mac 電腦
  3. Apple Watch Series 3 後所有機種
  • 解決方案:更新至 iOS 14.5.1、iOS 12.5.3、macOS 11.3.1、watchOS 7.4.1
回頁首