圖片來源: 

Hussam Abd on unsplash

蘋果昨(13)日釋出iOS/ iPadOS 16.3.1以及macOS Ventura 13.2.1,以修補3項安全漏洞,包括一個已遭到濫用的WebKit漏洞。

一如蘋果產品大部分安全公告,蘋果本次也未提供太多技術細節。本次修補的3項漏洞中,編號CVE-2023-23529的漏洞存在macOS及iOS/iPadOS的WebKit瀏覽器引擎中。它是WebKit對網頁內容檢查不足而產生的型態混淆(type confusion)瑕疵。該漏洞影響所及,用戶以Safari瀏覽惡意網站時,WebKit處理惡意網頁內容而引發漏洞濫用,讓攻擊者得以執行任意程式碼。

蘋果接獲匿名研究人員通報,該漏洞已發生實際攻擊行動,成為蘋果今年修補的第一項零時差漏洞。

最新漏洞影響執行macOS Ventura的Mac電腦,以及iPhone 8以後版本、iPad Pro所有機種、iPad Air第3代、iPad第5代和iPad mini 5以後版本。

另兩項漏洞中,CVE-2023-23514存在iOS/iPad及macOS核心,是由盤古實驗室及Google Project Zero通報,它是一項使用已釋放記憶體(use after free)漏洞,可讓惡意應用程式以核心權限執行任意程式碼。受影響的產品如同前一項漏洞。

最後一項漏洞編號CVE-2023-23522,僅影響macOS Ventura,它位於macOS的捷徑中,可讓惡意應用程式讀取未加防護的用戶資料。通報者為阿里巴巴集團安全研究人員。

蘋果呼籲用戶儘速更新到最新版本作業系統。

熱門新聞

Advertisement