按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

Apple 修復一個已用於駭侵攻擊的全新 0-day 漏洞 CVE-2022-42827

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-10-28
  • 點閱次數:2493
Apple 修復一個已用於駭侵攻擊的全新 0-day 漏洞 CVE-2022-42827 TWCERT/CC

Apple 於日前推出的 iOS 16.1、iPadOS 16.1 中,修復一個可能已遭用於駭侵攻擊的 0-day 漏洞 CVE-2022-42827,該漏洞可讓駭侵者取得 kernel 權限並且遠端執行任意程式碼;iPhone 與 iPad 用戶應立即更新作業系統,以免遭到駭侵者透過此漏洞發動攻擊。

據 Apple 發表的資安通報與 iOS 16.1、iPadOS 16.1 更新記事中指出,CVE-2022-42827 是一個記憶體緩衝區越界寫入錯誤,導因於邊界檢查的漏洞所致;駭侵者可利用這個漏洞誘發記憶體崩潰,因而取得 kernel 權限並遠端執行任意程式碼。該漏洞為一位匿名資安研究人員發現並提報 Apple。

據 Apple 發布的資安通報指出,該公司已知悉本漏洞可能已遭駭侵者用於發動駭侵攻擊,惟目前並無相關攻擊事件的進一步訊息。

該漏洞影響的 Apple iPhone 與 iPad 產品,包括 iPhone 8 與後續機型、iPad Pro 所有機型、iPad Air 第 3 代與後續機型、iPad 第 5 代與後續機型、iPad mini 第 5 代與後續機型。

CVE-2022-42827 是 Apple 於 2022 年修復的第 9 個 0-day 漏洞。

此外,在 Apple 這次推出的 iOS 16.1、iPadOS 16.1 中,也同時修復多達 18 個資安漏洞;其中包括上述 CVE-2022-42827 在內,共修復多達 13 個可讓駭侵者遠端執行任意程式碼的各式資安漏洞。

由於 iPhone 與 iPad 使用人數眾多,往往成為駭侵者的絕佳攻擊目標,因此 iPhone 與 iPad 用戶,應在 Apple 推出作業系統更新的第一時間就進行更新,以免遭駭侵者利用已公開的漏洞發動攻擊。

  • CVE編號:CVE-2022-42827
  • 影響產品(版本):iPhone 8 與後續機型、iPad Pro 所有機型、iPad Air 第 3 代與後續機型、iPad 第 5 代與後續機型、iPad mini 第 5 代與後續機型。
  • 解決方案:升級至 iOS 16.1、iPadOS 16.1。
回頁首