Apple 修復三個嚴重 tvOS 與 macOS零日漏洞，恐已遭駭侵者大規模濫用

Apple 針對 tvOS 與 macOS 發布資安更新，一共修復了三個可能讓駭侵者遠端執行任意程式碼，或是竊取用戶機敏資訊的 0-day 漏洞；Mac 電腦和 Apple TV 的用戶應立即更新系統軟體，以降低遭駭侵者利用這些漏洞發動攻擊的風險。

在這三個 0-day 漏洞中，有兩個發生在 Apple TV 4K 和 Apple TV HD 的 WebKit 引擎内，駭侵者可以利用特製網頁内容，誘發記憶體崩潰錯誤，進而遠端執行任意程式碼。

這兩個 0-day 漏洞的 CVE 編號分別為 CVE-2021-30663 與 CVE-2021-30665；據 Apple 的更新說明頁面指出，Apple 已獲悉這兩個 0-day 漏洞很可能已遭駭侵者大規模濫用。

另一個影響 macOS 的 0-day 漏洞，出現在 macOS Big Sur 的 TCC 架構的權限問題。TCC 架構的功能是阻擋已安裝應用程式私下存取用戶存在電腦上的機敏資訊；這個 0-day 漏洞可以讓駭侵者利用特製的應用程式，跳過 TCC 的阻擋，直接竊取用戶的機敏資訊。

這個 0-day 漏洞的 CVE 編號為 CVE-2021-30713；據 Apple 的更新說明頁面指出，Apple 已接獲報告指出這個 0-day 漏洞很可能已遭駭侵者大規模濫用。

資安廠商 Jamf 指出，該單位發現有個叫做 XCSSET 的惡意軟體，正是利用 CVE-2021-30713，針對 Mac 電腦發動攻擊；該惡意軟體能夠在用戶不知不覺得情形下，取得完整的磁碟存取權限、進行螢幕錄製或擷圖，也能取得其他資料的存取權限。

由於這三個 0-day 漏洞的嚴重性，Mac 電腦與 Apple TV 用戶，應盡速透過系統更新功能，更新至 macOS Big Sur 11.4 與 tvOS 14.6，以避免遭到駭侵者利用這些 0-day 漏洞發動攻擊。

本文轉載自TWCERT/CC。