Apple 緊急修補 Intel Mac 系統遭利用的兩個零時差漏洞

蘋果公司於週二發布緊急安全更新，修補了兩個已在 Intel 架構的 Mac 系統上遭到攻擊利用的零時差漏洞。蘋果在安全公告中表示，「我們已獲知這些問題可能已遭到攻擊利用的報告」。

漏洞細節

這兩個漏洞分別存在於 macOS Sequoia 的 JavaScriptCore（CVE-2024-44308）和 WebKit（CVE-2024-44309）元件中。

JavaScriptCore 漏洞（CVE-2024-44308）允許攻擊者透過精心製作的網頁內容實現遠端程式碼執行。而 WebKit 漏洞（CVE-2024-44309）則可能導致跨網站指令碼（XSS）攻擊。

由於這些元件同時存在於多個蘋果作業系統中，此次更新涵蓋以下版本：macOS Sequoia 15.1.1、iOS 17.7.2 與 iPadOS 17.7.2、iOS 18.1.1 與 iPadOS 18.1.1，以及 visionOS 2.1.1。

發現過程與威脅情報

這兩個漏洞由 Google 威脅分析小組（Threat Analysis Group）的研究員 Clément Lecigne 和 Benoît Sevens 發現。不過，蘋果公司並未透露這些漏洞具體是如何被利用的。Google 方面對此也表示目前無法提供更多細節。

2024年漏洞統計

這是蘋果在 2024 年修補的第五和第六個零時差漏洞。今年首個漏洞修補發生在一月，隨後在三月修補了兩個漏洞，五月又修補了一個，再加上本次修補的兩個。相較於 2023 年總共修補了 20 個零時差漏洞的紀錄，今年的情況已有明顯改善。

去年的漏洞修補工作貫穿全年，從二月開始就修補了一個 WebKit 漏洞（CVE-2023-23529），四月修補了兩個漏洞（CVE-2023-28206、CVE-2023-28205），五月修補了三個（CVE-2023-32409等），六月又修補了三個（CVE-2023-32434等）。七月修補了兩個（CVE-2023-37450、CVE-2023-38606），九月一次修補了五個（CVE-2023-41061等），十月和十一月各修補兩個，分別是 CVE-2023-42824、CVE-2023-5217 和 CVE-2023-42916、CVE-2023-42917。

安全建議

考慮到這些漏洞已遭到實際利用，建議使用者立即更新系統到最新版本。特別是使用 Intel 架構 Mac 的用戶，應優先執行此次更新以確保系統安全。同時，使用者也應該養成定期更新系統的習慣，並避免瀏覽來源不明的網站。