https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

新聞

Apple 緊急修補 Intel Mac 系統遭利用的兩個零時差漏洞

2024 / 11 / 20
編輯部
Apple 緊急修補 Intel Mac 系統遭利用的兩個零時差漏洞
蘋果公司於週二發布緊急安全更新,修補了兩個已在 Intel 架構的 Mac 系統上遭到攻擊利用的零時差漏洞。蘋果在安全公告中表示,「我們已獲知這些問題可能已遭到攻擊利用的報告」。

漏洞細節

這兩個漏洞分別存在於 macOS Sequoia 的 JavaScriptCore(CVE-2024-44308)和 WebKit(CVE-2024-44309)元件中。

JavaScriptCore 漏洞(CVE-2024-44308)允許攻擊者透過精心製作的網頁內容實現遠端程式碼執行。而 WebKit 漏洞(CVE-2024-44309)則可能導致跨網站指令碼(XSS)攻擊。

由於這些元件同時存在於多個蘋果作業系統中,此次更新涵蓋以下版本:macOS Sequoia 15.1.1、iOS 17.7.2 與 iPadOS 17.7.2、iOS 18.1.1 與 iPadOS 18.1.1,以及 visionOS 2.1.1。

發現過程與威脅情報

這兩個漏洞由 Google 威脅分析小組(Threat Analysis Group)的研究員 Clément Lecigne 和 Benoît Sevens 發現。不過,蘋果公司並未透露這些漏洞具體是如何被利用的。Google 方面對此也表示目前無法提供更多細節。

2024年漏洞統計

這是蘋果在 2024 年修補的第五和第六個零時差漏洞。今年首個漏洞修補發生在一月,隨後在三月修補了兩個漏洞,五月又修補了一個,再加上本次修補的兩個。相較於 2023 年總共修補了 20 個零時差漏洞的紀錄,今年的情況已有明顯改善。

去年的漏洞修補工作貫穿全年,從二月開始就修補了一個 WebKit 漏洞(CVE-2023-23529),四月修補了兩個漏洞(CVE-2023-28206、CVE-2023-28205),五月修補了三個(CVE-2023-32409等),六月又修補了三個(CVE-2023-32434等)。七月修補了兩個(CVE-2023-37450、CVE-2023-38606),九月一次修補了五個(CVE-2023-41061等),十月和十一月各修補兩個,分別是 CVE-2023-42824、CVE-2023-5217 和 CVE-2023-42916、CVE-2023-42917。

安全建議

考慮到這些漏洞已遭到實際利用,建議使用者立即更新系統到最新版本。特別是使用 Intel 架構 Mac 的用戶,應優先執行此次更新以確保系統安全。同時,使用者也應該養成定期更新系統的習慣,並避免瀏覽來源不明的網站。