按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

Apple 修復舊款 iPhone 上的 WebKit 0-day 漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2023-03-28
  • 點閱次數:6345
Apple 修復舊款 iPhone 上的 WebKit 0-day 漏洞 twcertcc

Apple 近日發表 iOS 15.7.4 與 iPadOS 15.7.4,其中針對舊款 iPhone 與 iPad 上已遭大規模濫用於攻擊的一個 0-day 漏洞進行修復。

這個 CVE-2023-23529 0-day 漏洞發生在 WebKit 瀏覽器子系統中,屬於類型混淆漏洞;駭侵者可利用特製的網頁內容來誘發此漏洞,造成作業系統崩潰,進而取得足夠權限,在受害的 iPhone 或 iPad 上執行任意程式碼,也可以取得該系統控制權。

本漏洞的 CVSS 危險程度評分高達 8.8 分(滿分為 10 分),危險程度評級為「高」(high)等級。

在此次更新中,Apple 強化了類型檢查的強度,以避免此漏洞的發生。

Apple 在 iOS 15.7.4 與 iPad 15.7.4 的發行註記說明中表示,該公司已得知此漏洞已遭大規模用於駭侵攻擊的情報;不過在該說明中並未明確指出攻擊活動的相關情報。

這個漏洞影響的 Apple iPhone 與 iPad 機型,以舊款為主,包括 iPhone 6s 所有機型、iPhone 7 所有機型、iPhone SE(第 1 代)、iPad Air 2、iPad mini(第 4 代)、iPod Touch(第 7 代)等。

除了上述的 CVE-2023-23529 0-day 漏洞外,Apple 在這次發行的 iOS 15.7.4 與 iPadOS 15.7.4 更新中,也修復了另外 15 個資安漏洞。

  • CVE 編號:CVE-2023-23529
  • 影響產品:iPhone 6s 所有機型、iPhone 7 所有機型、iPhone SE(第 1 代)、iPad Air 2、iPad mini(第 4 代)、iPod Touch(第 7 代)等。
  • 解決方案:由於各款受影響 iPhone 與 iPad 仍有廣大使用者,建議用戶應立即進行系統軟體更新,以修補這些已發現的漏洞。
回頁首