• 發布單位:TWCERT/CC
• 更新日期:2023-06-29
• 點閱次數:8911

美國資安最高主管機關「網路安全暨基礎設施安全局」（Cybersecurity and Infrastructure Security Agency, CISA）日前通令全美聯邦政府下轄各單位，應即刻修補發生在 iPhone 上的兩個 0-day 資安漏洞 CVE-2023-32434 與 CVE-2023-32435。

這兩個漏洞由資安廠商 Kaspersky 發現，與其相關的攻擊活動命名為「Operation Triangulation」；Kaspersky 是在該公司莫斯科與全球多處辦公室所屬員工持有的 iPhone 上發現該攻擊活動。據報該攻擊活動自 2019 年起就開始進行，且一直持續至今。

Apple 也在上周三緊急發表資安更新，修補包括這兩個 0-day 漏洞在內的多個 iOS 資安漏洞；Apple 也表示已經獲知這兩個漏洞已遭大規模用於針對 iOS 15.7 之前版本的攻擊之上。

受這兩個漏洞影響的 Apple 產品，包括 iPhone 8 和後續機型、iPad Pro（所有機型）、iPad Air（第 3 代）和後續機型、iPad（第 5 代）和後續機型，以及 iPad mini（第 5 代）和後續機型。

CISA 已將這兩個漏洞，連同其他近期發布的多個嚴重漏洞加入其 KEV 名單中，所有美國聯邦政府轄下民事與執行單位，都應在 7 月 4 日前完成修補。

建議建議各公私單位參考 CISA 不定期發布的最新 KEV 名單進行資安修補，以避免遭駭侵者透過已知但未及修補的各式資安漏洞發動攻擊。