蘋果緊急修補iOS、iPadOS及macOS Ventura 2零時差漏洞

內容說明:
蘋果上周五緊急釋出iOS及iPadOS 16.4.1，以及macOS Ventura 13.3.1更新，以修補兩個已經遭濫用的零時差漏洞。

根據蘋果的安全公告，這次修補的漏洞分別為CVE-2023-28205及CVE-2023-28206。CVE-2023-28206位於iOSurfaceAccelerator的越界寫入（out-of-bounds write）漏洞，可能讓惡意應用程式以核心權限執行任意程式碼。

CVE-2023-28205則位於WebKit，為一使用已釋放記憶體（use after free）漏洞。攻擊者可設立惡意網頁，引導iOS裝置用戶存取，致使惡意程式碼在裝置上執行。

兩個漏洞都是由Google威脅分析小組及Amnesty International安全實驗室研究人員Donncha Ó Cearbhaill發現及通報。更重要的是，蘋果警告，兩個漏洞都已遭人濫用。

蘋果並未公布漏洞風險，但安全廠商Tenable判定兩者皆屬於重大風險漏洞。

受到2漏洞影響的產品包括iPhone 8以上、iPad Pro（所有機種）、iPad Air 3以上、iPad 5以上、iPad mini 5以上產品，以及macOS 13 Ventura。舊版iOS、iPad及macOS產品則尚沒有更新版軟體可用。

風險等級:
2

建議措施:
針對受到2漏洞影響的產品包括iPhone 8以上、iPad Pro（所有機種）、iPad Air 3以上、iPad 5以上、iPad mini 5以上產品，以及macOS 13 Ventura 儘速執行更新 iOS 16.4.1、iPadOS 16.4.1、macOS Ventura 13.3.1。