歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
Apple 緊急修補 Intel Mac 系統遭利用的兩個零時差漏洞
2024 / 11 / 20
編輯部
蘋果公司於週二發布緊急安全更新,修補了兩個已在 Intel 架構的 Mac 系統上遭到攻擊利用的零時差漏洞。
蘋果在安全公告中表示,「我們已獲知這些問題可能已遭到攻擊利用的報告」。
漏洞細節
這兩個漏洞分別存在於 macOS Sequoia 的 JavaScriptCore(CVE-2024-44308)和 WebKit(CVE-2024-44309)元件中。
JavaScriptCore 漏洞(CVE-2024-44308)允許攻擊者透過精心製作的網頁內容實現遠端程式碼執行。而 WebKit 漏洞(CVE-2024-44309)則可能導致跨網站指令碼(XSS)攻擊。
由於這些元件同時存在於多個蘋果作業系統中,此次更新涵蓋以下版本:macOS Sequoia 15.1.1、iOS 17.7.2 與 iPadOS 17.7.2、iOS 18.1.1 與 iPadOS 18.1.1,以及 visionOS 2.1.1。
發現過程與威脅情報
這兩個漏洞由 Google 威脅分析小組(Threat Analysis Group)的研究員 Clément Lecigne 和 Benoît Sevens 發現。不過,蘋果公司並未透露這些漏洞具體是如何被利用的。Google 方面對此也表示目前無法提供更多細節。
2024年漏洞統計
這是蘋果在 2024 年修補的第五和第六個零時差漏洞。今年首個漏洞修補發生在一月,隨後在三月修補了兩個漏洞,五月又修補了一個,再加上本次修補的兩個。相較於 2023 年總共修補了 20 個零時差漏洞的紀錄,今年的情況已有明顯改善。
去年的漏洞修補工作貫穿全年,從二月開始就修補了一個 WebKit 漏洞(CVE-2023-23529),四月修補了兩個漏洞(CVE-2023-28206、CVE-2023-28205),五月修補了三個(CVE-2023-32409等),六月又修補了三個(CVE-2023-32434等)。七月修補了兩個(CVE-2023-37450、CVE-2023-38606),九月一次修補了五個(CVE-2023-41061等),十月和十一月各修補兩個,分別是 CVE-2023-42824、CVE-2023-5217 和 CVE-2023-42916、CVE-2023-42917。
安全建議
考慮到這些漏洞已遭到實際利用,建議使用者立即更新系統到最新版本。特別是使用 Intel 架構 Mac 的用戶,應優先執行此次更新以確保系統安全。同時,使用者也應該養成定期更新系統的習慣,並避免瀏覽來源不明的網站。
JavaScriptCore 漏洞
WebKit 漏洞
跨網站指令碼攻擊
最新活動
2024.12.19
2024 企業資安前瞻論壇 : 迎向複雜資安威脅的新時代
看更多活動
大家都在看
企業 VPN 更新機制遭攻破,研究人員揭露權限提升攻擊鏈
重大供應鏈攻擊又一樁! 美國供應鏈管理軟體大廠 Blue Yonder 遭勒索攻擊,星巴克等企業營運受阻
Matrix 殭屍網路肆虐全球,藉 IoT 設備發動大規模 DDoS 攻擊
TWNIC報告:51.22%受訪者表示不信任政府有應對網路攻擊的能力
中國駭客組織「鹽颱風」利用新型 GhostSpider 後門程式攻擊電信業者
資安人科技網
文章推薦
Winos4.0透過遊戲應用程式傳播發起威脅活動
SmokeLoader惡意程式瞄準台灣製造業與資訊科技業
2024台灣資安通報應變年會:資安長高峰論壇 聚焦威脅應變與跨域協作