Apple 近日在最新發表的 iOS、iPadOS、tvOS、macOS 等多種作業系統中,修復了一個存於 WebKit 組件中的 0-day 漏洞;該漏洞可讓駭侵者利用特製的網頁,在受駭系統上執行任意程式碼。
該漏洞的 CVE 編號為 CVE-2022-42856,是一種存於 Apple WebKit 網頁瀏覽器引擎中的形別混淆錯誤(Type Confusion),由 Google 旗下的 Threat Analysis Group 的資安研究人員發現。
研究人員指出,駭侵者可利用特製的網頁程式碼來誘發此錯誤,並在裝置上執行任意程式碼,以在作業系統中執行惡意軟體,或是進一步下載後續的惡意程式或監控軟體酬載,以發動進一步的攻擊。
這次 Apple 推出的 0-day 漏洞更新,置於新推出的 iOS/iPadOS 15.7.2、Safari 16.2、tvOS 16.2 與 macOS Ventura 13.1。Apple 也在更新說明中表示,該漏洞可能已遭駭侵者大規模用於攻擊活動。
受此漏洞影響的 Apple 裝置,包括 iPhone 6s 所有機型、iPhone 7 所有機型、iPhone SE (第 1 代)、iPad Pro 所有機型、iPad Air 2 與後續機種、iPad 第 5 代與後續機種、iPad mini 4 與後續機種、iPod Touch 第 7 代。
建議使用上述機種機型的用戶,應立即透過作業系統更新,修補所有已知的資安漏洞,以防駭侵者利用尚未修補的漏洞趁虛而入。
- CVE編號:CVE-2022-42856
- 影響產品(版本): iPhone 6s 所有機型、iPhone 7 所有機型、iPhone SE(第 1 代)、iPad Pro 所有機型、iPad Air 2 與後續機種、iPad 第 5 代與後續機種、iPad mini 4 與後續機種、iPod Touch 第 7 代。
- 解決方案:升級至 iOS/iPadOS 15.7.2、Safari 16.2、tvOS 16.2 與 macOS Ventura 13.1 與後續版本作業系統。
本文轉載自TWCERT/CC。