iPhone 6、7或iPhone SE等用戶請注意,蘋果本周針對舊款iPhone、iPad裝置釋出安全更新,以修補瀏覽器引擎WebKit的一個高風險零時差漏洞。

蘋果釋出的iOS 15.7.4和iPadOS 15.7.4是針對iPhone 6s、7、iPhone SE、iPad Air 2、iPad mini 4及iPod touch 7發布。它和iOS 16.4及iPadOS 16.4同時發布,後者提供給較新的iPhone 8以後、iPad Pro、iPad Air 3以後、iPad 5以後及iPad mini 5版本。

兩者多項安全更新相同,但iOS/iPadOS 15.7.4還修補了一個零時差漏洞CVE-2023-23529。它是一個型態混淆(type confusion)漏洞,影響Safari瀏覽器引擎WebKit,攻擊者可設立惡意網頁,再以社交工程或其他方式誘使用戶造訪。一旦用戶裝置處理了該網頁內容,即可能引發任意程式碼攻擊。本項漏洞風險值達8.8。

蘋果在上個月得知該漏洞已遭到濫用,已釋出macOS Ventura 13.2.1、iOS 16.3.1和iPadOS 16.3.1及Safari 16.3,以修補較新的iPhone、iPad及Mac電腦。

蘋果本周也釋出macOS Ventura 13.3、iOS/iPadOS/tvOS 16.4及watchOS 9.4。其中iOS/iPadOS 16.4則修補30多項漏洞。較重要的漏洞包括Calendar的CVE-2023-27961,能匯入惡意行事曆邀請訊息,造成不慎點入的用戶資訊外洩。Find My的CVE-2023-23537可讓惡意App讀取用戶所在位置資訊。WebKit漏洞CVE-2023-27954,讓惡意網站得以追蹤敏感的用戶資訊。

CVE-2023-23541影響iPhone的輔助功能(Accessibility),可讓惡意App存取用戶聯絡人資訊。

CVE-2023-27969及CVE-2023-27933屬於OS核心的使用已釋放記憶體(use after free)漏洞,可讓惡意App以核心權限執行任意程式碼。CVE-2023-23535及CVE-2023-27979則可讓駭客傳送惡意圖片,用戶讀取後觸發行程記憶體洩露。

蘋果並修補了AI晶片神經網路引擎(Apple Neural Engine)多項漏洞,包括2個能使惡意App以核心權限執行任意程式碼的漏洞CVE-2023-23540、CVE-2023-27959、惡意程式碼越界寫入(out-of-bounds write)漏洞CVE-2023-27970,以及惡意App突破沙箱執行的漏洞CVE-2023-23532。

熱門新聞

Advertisement