https://www.informationsecurity.com.tw/Seminar/2024_TCM/
https://www.informationsecurity.com.tw/Seminar/2024_TCM/

新聞

Apple 修復會攻擊 iPhone 等產品的 WebKit 全新 0-day 漏洞

2022 / 12 / 19
編輯部
 Apple 修復會攻擊 iPhone 等產品的 WebKit 全新 0-day 漏洞
Apple 近日在最新發表的 iOS、iPadOS、tvOS、macOS 等多種作業系統中,修復了一個存於 WebKit 組件中的 0-day 漏洞;該漏洞可讓駭侵者利用特製的網頁,在受駭系統上執行任意程式碼。

該漏洞的 CVE 編號為 CVE-2022-42856,是一種存於 Apple WebKit 網頁瀏覽器引擎中的形別混淆錯誤(Type Confusion),由 Google 旗下的 Threat Analysis Group 的資安研究人員發現。

研究人員指出,駭侵者可利用特製的網頁程式碼來誘發此錯誤,並在裝置上執行任意程式碼,以在作業系統中執行惡意軟體,或是進一步下載後續的惡意程式或監控軟體酬載,以發動進一步的攻擊。

這次 Apple 推出的 0-day 漏洞更新,置於新推出的 iOS/iPadOS 15.7.2、Safari 16.2、tvOS 16.2 與 macOS Ventura 13.1。Apple 也在更新說明中表示,該漏洞可能已遭駭侵者大規模用於攻擊活動。

受此漏洞影響的 Apple 裝置,包括 iPhone 6s 所有機型、iPhone 7 所有機型、iPhone SE (第 1 代)、iPad Pro 所有機型、iPad Air 2 與後續機種、iPad 第 5 代與後續機種、iPad mini 4 與後續機種、iPod Touch 第 7 代。

建議使用上述機種機型的用戶,應立即透過作業系統更新,修補所有已知的資安漏洞,以防駭侵者利用尚未修補的漏洞趁虛而入。
  • CVE編號:CVE-2022-42856
  • 影響產品(版本): iPhone 6s 所有機型、iPhone 7 所有機型、iPhone SE(第 1 代)、iPad Pro 所有機型、iPad Air 2 與後續機種、iPad 第 5 代與後續機種、iPad mini 4 與後續機種、iPod Touch 第 7 代。
  • 解決方案:升級至 iOS/iPadOS 15.7.2、Safari 16.2、tvOS 16.2 與 macOS Ventura 13.1 與後續版本作業系統。
本文轉載自TWCERT/CC。