• 發布單位:TWCERT/CC
• 更新日期:2023-02-14
• 點閱次數:6811

Apple 日前緊急推出新版 iOS、iPadOS、macOS，以修補一個新發現的 WebKit 0-day 漏洞 CVE-2023-23529；該漏洞可讓駭侵者用於執行任意程式碼。

編號 CVE-2023-23529 的這個全新 0-day 漏洞，是一個存於 WebKit 瀏覽器引擎的錯誤，駭侵者可利用特製的網頁內容來誘發此錯誤發生，並且執行任意程式碼，以發動進一步的駭侵攻擊。

Apple 在資安通報中也表示，該漏洞可能已經遭到廣泛濫用於駭侵攻擊。該漏洞存內建 WebKit 引擎且執行舊版作業系統的 iPhone、iPad 和 Mac 電腦。

目前尚無此 CVE-2023-23529 的 CVSS 危險程度評分與評級相關資訊。

為修補此一漏洞，Apple 緊急發表新版 iOS 16.3.1、iPadOS 16.3.1、macOS Ventura 13.2.1；適用機種十分廣泛，包括 iPhone 8 與所有後續機型、iPad Pro 所有機型、iPad Air 第 3 代與後續機型、iPad 第 5 代與後續機型、iPad mini 第 5 代與後續機型，以及所有執行 macOS Ventura 的 Mac 電腦。

在這次發行的更新版 iOS、iPadOS、macOS 中，除了上述的 CVE-2022-23529 外，Apple 也同時修補另一個漏洞 CVE-2023-23514；該漏洞存於記憶體管理機制中，屬於使用已釋放記憶體漏洞，可讓駭侵者以核心權限執行任意程式碼。

• CVE 編號：CVE-2023-23529、CVE-2023-23514
• 影響產品： iPhone 8 與所有後續機型、iPad Pro 所有機型、iPad Air 第 3 代與後續機型、iPad 第 5 代與後續機型、iPad mini 第 5 代與後續機型，以及所有執行 macOS Ventura 的 Mac 電腦
• 解決方案：升級到  iOS 16.3.1、iPadOS 16.3.1、macOS Ventura 13.2.1