• 發布單位:TWCERT/CC
• 更新日期:2022-02-15
• 點閱次數:3185

Apple 日前釋出新版 iOS、iPadOS、macOS，修復一個可能已遭駭侵者廣為利用的 0-day 漏洞 CVE-2022-22620，用戶應立即更新各裝置作業系統至最新版本。

這個漏洞存於上述各種作業系統的內建瀏覽器核心 WebKit 內，屬於使用已釋放之記憶體的資安漏洞；駭侵者可利用特製的網頁內容誘發此漏洞，造成作業系統崩潰，並且在受害裝置上遠端執行任意程式碼。

Apple 在產品更新說明中也指出，該公司已接獲此漏洞可能已遭駭侵者大規模濫用於駭侵攻擊的報告。

受此漏洞影響的 Apple 產品如下：

• iPhone 6s 與後續各型機種；
• iPad Pro 全機種；
• iPad Air 2 與後續各型機種；
• iPad 第 5 代與後續各型機種；
• iPad mini 第 4 代與後續各型機種；
• iPod Touch 第 7 代；
• 執行 macOS Monterey 的 Mac 電腦全機種。

Apple 表示，在新推出的 iOS 15.3.1、iPad OS 15.3.1 與 macOS Monterey 12.2.1 中，針對記憶體管理機制進行改善，從而修復此一漏洞。

資安專家指出，雖然目前接獲的情資顯示，此漏洞僅遭駭侵者使用於目標定向駭侵攻擊，尚未出現目標較廣泛的資安攻擊行動，但仍建議擁有上述裝置的用戶，應立即透過系統更新功能，將裝置上的 iOS、iPadOS、macOS 更新至最新版本，以避免潛在的資安攻擊風險。

• CVE編號：CVE-2022-22620

• 影響產品(版本)：

iPhone 6s 與後續各型機種；
iPad Pro 全機種；
iPad Air 2 與後續各型機種；
iPad 第 5 代與後續各型機種；
iPad mini 第 4 代與後續各型機種；
iPod Touch 第 7 代；
執行 macOS Monterey 的 Mac 電腦全機種。
 

• 解決方案：升級至  iOS 15.3.1、iPad OS 15.3.1 與 macOS Monterey 12.2.1 或後續版本。