按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

Apple 修復 3 個可用以駭侵 iPhone、iPad、Apple Watch、Apple TV 與 Mac 的 0-day 漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2023-05-23
  • 點閱次數:8717
Apple 修復 3 個可用以駭侵 iPhone、iPad、Apple Watch、Apple TV 與 Mac 的 0-day 漏洞 twcertcc

Apple 近日修復 3 個可讓駭侵者用以攻擊 iPhone 與 Mac 等多款 Apple 產品的 0-day 漏洞 CVE-2023-32409、CVE-2023-28204、CVE-2023-32373。iPhone 與 Mac 使用者應儘速更新,以降低遭駭侵者以已知漏洞發動攻擊的風險。

據 Apple 這三個漏洞都存於跨平台的 WebKit 瀏覽器引擎。頭一個漏洞 CVE-2023-32409 為一個沙箱跨越漏洞,可讓遠端駭侵者跳過 Web 內容沙箱的侷限,影響到沙箱以外的操作環境。

至於另外兩個漏洞,駭侵者都可以利用特制的網頁內容來觸發。其中一個屬於越界讀取錯誤(out-of-bounds read),駭侵者可藉以取得機敏資訊;另一個則是屬於釋放後使用(use-after-free)的錯誤,駭侵者可透過此漏洞遠端執行任意程式碼。

受到此漏洞影響的裝置相當多,包括 iPhone 6s(所有機型)、iPhone 7(所有機型)、iPhone SE(第 1 代)、iPad Air 2、iPad mini(第 4 代)、iPod Touch(第 7 代)、iPhone 8 與後續機型、iPad Pro(所有機型)、iPad Air(第 3 代與後續機型)、iPad(第 5 代與後續機型)、iPad mini(第 5 代與後續機型)、所有執行 macOS Big Sur、Monterey 與 Ventura 的 Mac 電腦、Apple Watch Series 4 與後續機型、Apple TV 4K(所有機型)、Apple TV HD。

Apple 在新推出的 iOS、iPadOS 16.5、macOS Ventura 13.4、tvOS 16.5、watchOS 9.5、Safari 16.5 中強化了邊界檢查、輸入驗證和記憶體管理,解決了這 3 個 0-day 漏洞。

  • CVE 編號:CVE-2023-32409 等
  • 影響產品:iPhone 6s(所有機型)、iPhone 7(所有機型)、iPhone SE(第 1 代)、iPad Air 2、iPad mini(第 4 代)、iPod Touch(第 7 代)、iPhone 8 與後續機型、iPad Pro(所有機型)、iPad Air(第 3 代與後續機型)、iPad(第 5 代與後續機型)、iPad mini(第 5 代與後續機型)、所有執行 macOS Big Sur、Monterey 與 Ventura 的 Mac 電腦、Apple Watch Series 4 與後續機型、Apple TV 4K(所有機型)、Apple TV HD。
  • 解決方案:立即升級到 iOS、iPadOS 16.5、macOS Ventura 13.4、tvOS 16.5、watchOS 9.5、Safari 16.5
回頁首