https://www.informationsecurity.com.tw/Seminar/2024_TCM/
https://www.informationsecurity.com.tw/Seminar/2024_TCM/

新聞

Apple 修復新發現的 WebKit 0-day 漏洞 CVE-2023-23529

2023 / 02 / 14
編輯部
Apple 修復新發現的 WebKit 0-day 漏洞 CVE-2023-23529
Apple 日前緊急推出新版 iOS、iPadOS、macOS,以修補一個新發現的 WebKit 0-day 漏洞 CVE-2023-23529;該漏洞可讓駭侵者用於執行任意程式碼。

編號 CVE-2023-23529 的這個全新 0-day 漏洞,是一個存於 WebKit 瀏覽器引擎的錯誤,駭侵者可利用特製的網頁內容來誘發此錯誤發生,並且執行任意程式碼,以發動進一步的駭侵攻擊。

Apple 在資安通報中也表示,該漏洞可能已經遭到廣泛濫用於駭侵攻擊。該漏洞存內建 WebKit 引擎且執行舊版作業系統的 iPhone、iPad 和 Mac 電腦。

目前尚無此 CVE-2023-23529 的 CVSS 危險程度評分與評級相關資訊。

為修補此一漏洞,Apple 緊急發表新版 iOS 16.3.1、iPadOS 16.3.1、macOS Ventura 13.2.1;適用機種十分廣泛,包括 iPhone 8 與所有後續機型、iPad Pro 所有機型、iPad Air 第 3 代與後續機型、iPad 第 5 代與後續機型、iPad mini 第 5 代與後續機型,以及所有執行 macOS Ventura 的 Mac 電腦。

在這次發行的更新版 iOS、iPadOS、macOS 中,除了上述的 CVE-2022-23529 外,Apple 也同時修補另一個漏洞 CVE-2023-23514;該漏洞存於記憶體管理機制中,屬於使用已釋放記憶體漏洞,可讓駭侵者以核心權限執行任意程式碼。
  • CVE 編號:CVE-2023-23529、CVE-2023-23514
  • 影響產品: iPhone 8 與所有後續機型、iPad Pro 所有機型、iPad Air 第 3 代與後續機型、iPad 第 5 代與後續機型、iPad mini 第 5 代與後續機型,以及所有執行 macOS Ventura 的 Mac 電腦
  • 解決方案:升級到  iOS 16.3.1、iPadOS 16.3.1、macOS Ventura 13.2.1

本文轉載自TWCERT/CC。