【新聞來源】
原網址:https://www.ithome.com.tw/news/158904
(原始未刪減的網址,未提供者水桶60日)
短網址:
(若原網址過長時請儘可能提供短網址,反之免提供)
【新聞內容】
蘋果緊急更新iOS與macOS等平臺,修補3個已遭濫用的零時差漏洞
蘋果周四(9/21)緊急更新了macOS、iOS、iPadOS、watchOS及Safari,修補3個已經遭到
駭客濫用的零時差漏洞。
此次蘋果所修補的安全漏洞分別是CVE-2023-41991、CVE-2023-41992與CVE-2023-41993,
其中的CVE-2023-41991允許惡意程式繞過簽名驗證,此一漏洞同時存在於macOS、iOS、
iPadOS及watchOS上。CVE-2023-41992則為核心漏洞,允許本地端駭客擴充權限,亦同時
存在於macOS、iOS、iPadOS及watchOS上。
CVE-2023-41993漏洞位於WebKit中,其網頁內容處理功能可能導致任意程式執行,主要影
響iOS、iPadOS與Safari。
雖然上述漏洞涉及不同的平臺,但迄今所發現的攻擊行動皆是鎖定 iOS 16.7以前的iOS版
本,顯示實際遭到攻擊的裝置為iPhone。此外,相關漏洞都是由加拿大公民實驗室(
Citizen Lab)的Bill Marczak與Google威脅分析小組的Maddie Stone所提報。
本月上旬蘋果才修補了兩個亦是由公民實驗室發現的零時差漏洞,當時駭客利用這兩個漏
洞入侵了iPhone,並植入Pegasus間諜程式。今年以來蘋果所修補的零時差漏洞數量已達
到16個。
【觀後心得】
如果你的iOS是16.7以前請盡快更新!這幾個都是舊版本的漏洞,能夠讓駭客擴張權限,
一旦你的手機被偷走,很可能會讓內部的資料外洩,這比耗電量還要更嚴重,而使用
Safari則可能外洩網站帳密