跳到主要內容區塊

資通安全專區

蘋果緊急修補iOS、iPadOS及macOS Ventura 2零時差漏洞

蘋果緊急修補iOS、iPadOS及macOS Ventura 2零時差漏洞

內容說明:
蘋果上周五緊急釋出iOS及iPadOS 16.4.1,以及macOS Ventura 13.3.1更新,以修補兩個已經遭濫用的零時差漏洞。

根據蘋果的安全公告,這次修補的漏洞分別為CVE-2023-28205及CVE-2023-28206。CVE-2023-28206位於iOSurfaceAccelerator的越界寫入(out-of-bounds write)漏洞,可能讓惡意應用程式以核心權限執行任意程式碼。

CVE-2023-28205則位於WebKit,為一使用已釋放記憶體(use after free)漏洞。攻擊者可設立惡意網頁,引導iOS裝置用戶存取,致使惡意程式碼在裝置上執行。

兩個漏洞都是由Google威脅分析小組及Amnesty International安全實驗室研究人員Donncha Ó Cearbhaill發現及通報。更重要的是,蘋果警告,兩個漏洞都已遭人濫用。

蘋果並未公布漏洞風險,但安全廠商Tenable判定兩者皆屬於重大風險漏洞。

受到2漏洞影響的產品包括iPhone 8以上、iPad Pro(所有機種)、iPad Air 3以上、iPad 5以上、iPad mini 5以上產品,以及macOS 13 Ventura。舊版iOS、iPad及macOS產品則尚沒有更新版軟體可用。

風險等級:
2

建議措施:
針對受到2漏洞影響的產品包括iPhone 8以上、iPad Pro(所有機種)、iPad Air 3以上、iPad 5以上、iPad mini 5以上產品,以及macOS 13 Ventura 儘速執行更新 iOS 16.4.1、iPadOS 16.4.1、macOS Ventura 13.3.1。

最後異動時間:2023-04-17 下午 03:05:58
TOP