內容說明:
Apple於2023年6月21日發布iOS 16.5.1、iPadOS 16.5.1、macOS Ventura 13.4.1、macOS Monterey 12.6.7、macOS Big Sur 11.7.8、watchOS 9.5.2及Safari 16.5.1等產品的安全更新，用以修補透過 iMessage零點擊（zero-click）方式，在iPhone上安裝Triangulation間諜軟體攻擊中遭利用的三個新的零日漏洞。

 CVE-2023-32434：整數溢位漏洞，可能允許攻擊者利用應用程式的kernel權限執行任意程式碼。

 CVE-2023-32435：WebKit中的記憶體損壞漏洞，可能允許攻擊者透過處理Web內容執行任意程式碼。

 CVE-2023-32439：類型混淆漏洞，可能允許攻擊者透過處理惡意製作的Web內容執行任意程式碼。



發現該漏洞的安全業者卡巴斯基6月首先公告一項稱為Operation Triangulation的攻擊活動，攻擊者傳送附有惡意附件的iMessage給受害者，使用者無需任何動作，只要點選訊息即可觸發漏洞安裝惡意程式，並啟動後續下載，最終植入間諜軟體。



CVE-2023-32434、CVE-2023-32435及CVE-2023-32439為Apple今年修補的第七、第八及第九個零時差漏洞，儘管該公司透露已收到這些漏洞遭積極利用報告，但尚未發布有關攻擊的相關資訊，雖然可能只用於針對性的攻擊，但Apple強烈建議盡快安裝更新，以阻止潛在的攻擊企圖。



由於智慧型手機功能強大且普及率高，建議各單位應特別注意公務用之手機，依照原廠說明更新至新版本，以防範去年發生在iPhone上安裝NSO的Pegasus間諜軟體事件。




風險等級:
2

建議措施:
 請更新至iOS 16.5.1及iPadOS 16.5.1或之後版本，請參閱網址https://support.apple.com/zh-tw/HT213814
 舊款機型，請更新至iOS 15.7.7及iPadOS 15.7.7或之後版本，請參閱網址https://support.apple.com/zh-tw/HT213811
 請更新至macOS Ventura 13.4.1或之後版本，請參閱網址https://support.apple.com/zh-tw/HT213813
 請更新至macOS Monterey 12.6.7或之後版本，請參閱網址https://support.apple.com/zh-tw/HT213810
 請更新至macOS Big Sur 11.7.8或之後版本，請參閱網址https://support.apple.com/zh-tw/HT213809
 請更新至watchOS 9.5.2或之後版本，請參閱網址https://support.apple.com/zh-tw/HT213812
 舊款機型，請更新至watchOS 8.8.1或之後版本，請參閱網址https://support.apple.com/zh-tw/HT213808
 請更新至Safari 16.5.1或之後版本，請參閱網址https://support.apple.com/zh-tw/HT213816