蘋果本周針對較早版本iOS、iPadOS裝置釋出更新版本,修補已被Operation Triangulation駭客濫用的2個安全漏洞。
這波釋出的是iOS/iPadOS 16.5.1及iOS/iPadOS 15.7.7。這波更新包含2個安全漏洞的修補程式。其中一個是CVE-2023-32434,是一個影響作業系統核心的整數溢位漏洞,能讓惡意程式以核心權限執行任意程式碼。另一個是CVE-2023-32439,為Safari瀏覽器引擎WebKit中的型態混淆漏洞,可讓攻擊者傳送網頁連結,誘使用戶點擊造訪,引發任意程式碼執行。蘋果說已接獲通報這2個漏洞遭到積極濫用。
發現該漏洞的安全業者之一卡巴斯基6月首先公告這波攻擊,並將這波攻擊稱為Operation Triangulation。卡巴斯基發現攻擊者傳送附有惡意附件的iMessage給受害者,用戶無需任何動作,只要點選訊息即可觸發漏洞安裝惡意程式,並啟動後續下載,最終植入間諜軟體。卡巴斯基的員工也因此中招。
卡巴斯基追查到最早感染時間為2019年,到目前攻擊仍然在進行中,最後受影響的iOS版本為15.7版,意謂受影響的只有iOS 15.7以前版本的裝置。
以產品而言,則為iPhone 8、iPad Air 3、iPad 5、iPad mini 5及以後版本,以及iPad Pro所有機種。
這波攻擊的主謀為誰仍不得而知,但同一天俄羅斯聯邦安全局(Federal Security Service,FSB)指控美國發動攻擊,以惡意程式感染數千名俄國iPhone用戶,受害者包括一般人民及外交官員,且蘋果知情卻坐視不理。
但卡巴斯基以缺乏證據為由,表示無法證實此事。
蘋果同時釋出macOS Ventura 13.4.1修補這2個漏洞。watchOS 8.8.1則只修補了CVE-2023-32434。
熱門新聞
2024-08-14
2024-12-22
2024-12-20
2024-12-22