按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

Apple 修復已遭駭侵者濫用的 0-day 漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-02-15
  • 點閱次數:1961
Apple 修復已遭駭侵者濫用的 0-day 漏洞 TWCERT/CC

Apple 日前釋出新版 iOS、iPadOS、macOS,修復一個可能已遭駭侵者廣為利用的 0-day 漏洞 CVE-2022-22620,用戶應立即更新各裝置作業系統至最新版本。

這個漏洞存於上述各種作業系統的內建瀏覽器核心 WebKit 內,屬於使用已釋放之記憶體的資安漏洞;駭侵者可利用特製的網頁內容誘發此漏洞,造成作業系統崩潰,並且在受害裝置上遠端執行任意程式碼。

Apple 在產品更新說明中也指出,該公司已接獲此漏洞可能已遭駭侵者大規模濫用於駭侵攻擊的報告。

受此漏洞影響的 Apple 產品如下:

  • iPhone 6s 與後續各型機種;
  • iPad Pro 全機種;
  • iPad Air 2 與後續各型機種;
  • iPad 第 5 代與後續各型機種;
  • iPad mini 第 4 代與後續各型機種;
  • iPod Touch 第 7 代;
  • 執行 macOS Monterey 的 Mac 電腦全機種。

Apple 表示,在新推出的 iOS 15.3.1、iPad OS 15.3.1 與 macOS Monterey 12.2.1 中,針對記憶體管理機制進行改善,從而修復此一漏洞。

資安專家指出,雖然目前接獲的情資顯示,此漏洞僅遭駭侵者使用於目標定向駭侵攻擊,尚未出現目標較廣泛的資安攻擊行動,但仍建議擁有上述裝置的用戶,應立即透過系統更新功能,將裝置上的 iOS、iPadOS、macOS 更新至最新版本,以避免潛在的資安攻擊風險。

  • CVE編號:CVE-2022-22620
  • 影響產品(版本):

iPhone 6s 與後續各型機種;
iPad Pro 全機種;
iPad Air 2 與後續各型機種;
iPad 第 5 代與後續各型機種;
iPad mini 第 4 代與後續各型機種;
iPod Touch 第 7 代;
執行 macOS Monterey 的 Mac 電腦全機種。
 

  • 解決方案:升級至  iOS 15.3.1、iPad OS 15.3.1 與 macOS Monterey 12.2.1 或後續版本。
回頁首