按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

Apple 修復會攻擊 iPhone 等產品的 WebKit 全新 0-day 漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-12-16
  • 點閱次數:8180
Apple 修復會攻擊 iPhone 等產品的 WebKit 全新 0-day 漏洞 TWCERT/CC

Apple 近日在最新發表的 iOS、iPadOS、tvOS、macOS 等多種作業系統中,修復了一個存於 WebKit 組件中的 0-day 漏洞;該漏洞可讓駭侵者利用特製的網頁,在受駭系統上執行任意程式碼。

該漏洞的 CVE 編號為 CVE-2022-42856,是一種存於 Apple WebKit 網頁瀏覽器引擎中的形別混淆錯誤(Type Confusion),由 Google 旗下的 Threat Analysis Group 的資安研究人員發現。

研究人員指出,駭侵者可利用特製的網頁程式碼來誘發此錯誤,並在裝置上執行任意程式碼,以在作業系統中執行惡意軟體,或是進一步下載後續的惡意程式或監控軟體酬載,以發動進一步的攻擊。

這次 Apple 推出的 0-day 漏洞更新,置於新推出的 iOS/iPadOS 15.7.2、Safari 16.2、tvOS 16.2 與 macOS Ventura 13.1。Apple 也在更新說明中表示,該漏洞可能已遭駭侵者大規模用於攻擊活動。

受此漏洞影響的 Apple 裝置,包括 iPhone 6s 所有機型、iPhone 7 所有機型、iPhone SE (第 1 代)、iPad Pro 所有機型、iPad Air 2 與後續機種、iPad 第 5 代與後續機種、iPad mini 4 與後續機種、iPod Touch 第 7 代。

建議使用上述機種機型的用戶,應立即透過作業系統更新,修補所有已知的資安漏洞,以防駭侵者利用尚未修補的漏洞趁虛而入。

  • CVE編號:CVE-2022-42856
  • 影響產品(版本): iPhone 6s 所有機型、iPhone 7 所有機型、iPhone SE(第 1 代)、iPad Pro 所有機型、iPad Air 2 與後續機種、iPad 第 5 代與後續機種、iPad mini 4 與後續機種、iPod Touch 第 7 代。
  • 解決方案:升級至 iOS/iPadOS 15.7.2、Safari 16.2、tvOS 16.2 與 macOS Ventura 13.1 與後續版本作業系統。
回頁首