• 發布單位:TWCERT/CC
• 更新日期:2022-12-16
• 點閱次數:6618

Apple 近日在最新發表的 iOS、iPadOS、tvOS、macOS 等多種作業系統中，修復了一個存於 WebKit 組件中的 0-day 漏洞；該漏洞可讓駭侵者利用特製的網頁，在受駭系統上執行任意程式碼。

該漏洞的 CVE 編號為 CVE-2022-42856，是一種存於 Apple WebKit 網頁瀏覽器引擎中的形別混淆錯誤（Type Confusion），由 Google 旗下的 Threat Analysis Group 的資安研究人員發現。

研究人員指出，駭侵者可利用特製的網頁程式碼來誘發此錯誤，並在裝置上執行任意程式碼，以在作業系統中執行惡意軟體，或是進一步下載後續的惡意程式或監控軟體酬載，以發動進一步的攻擊。

這次 Apple 推出的 0-day 漏洞更新，置於新推出的 iOS/iPadOS 15.7.2、Safari 16.2、tvOS 16.2 與 macOS Ventura 13.1。Apple 也在更新說明中表示，該漏洞可能已遭駭侵者大規模用於攻擊活動。

受此漏洞影響的 Apple 裝置，包括 iPhone 6s 所有機型、iPhone 7 所有機型、iPhone SE (第 1 代）、iPad Pro 所有機型、iPad Air 2 與後續機種、iPad 第 5 代與後續機種、iPad mini 4 與後續機種、iPod Touch 第 7 代。

建議使用上述機種機型的用戶，應立即透過作業系統更新，修補所有已知的資安漏洞，以防駭侵者利用尚未修補的漏洞趁虛而入。

• CVE編號：CVE-2022-42856
• 影響產品(版本)： iPhone 6s 所有機型、iPhone 7 所有機型、iPhone SE(第 1 代)、iPad Pro 所有機型、iPad Air 2 與後續機種、iPad 第 5 代與後續機種、iPad mini 4 與後續機種、iPod Touch 第 7 代。
• 解決方案：升級至 iOS/iPadOS 15.7.2、Safari 16.2、tvOS 16.2 與 macOS Ventura 13.1 與後續版本作業系統。