蘋果在昨日(14)釋出 iOS 16.3.1、iPadOS 16.3.1、tvOS 16.3.2 和 macOS 13.2.1 更新,同時還修補三大系統安全漏洞,蘋果也警告當前 WebKit 漏洞已經被駭客濫用中,呼籲 iPhone、iPad 和 Mac 用戶都要盡快升級到最新版本,避免遭受零時差漏洞攻擊。
就算 iOS 16.3.1 和 iPadOS 16.3.1 最主要是修正 iCloud 自動備份無回應、Siri 尋找錯誤,同時也針對 iPhone 14 車禍偵測最佳化外,另外也修補3個系統漏洞,蘋果也發出安全警訊,已經接獲匿名研究人員通報,有駭客開始利用零日漏洞進行實際攻擊,也讓蘋果不得不進快推出更新修補。
從蘋果發布安全更新頁面顯示,在 iOS 16.3.1 修補漏洞共有3項,其中編號 CVE-2023-23529 漏洞,被發現在 iOS、iPadOS 與 macOS 內建 WebKit 中,WebKit 是指系統內建 Safari 瀏覽器引擎,駭客可利用 WebKit 網頁內容檢查不足造成型態混淆(type confusion)瑕疵,當用戶透過 Safari 開啟惡意網頁時,就能造成系統漏洞遭攻擊,導致攻擊者能夠取得設備最高執行權限。
這項重大 WebKit 零時差漏洞主要影響設備包含,iPhone 8 及更新機型、iPad Pro(所有機型)、iPad Air 第三代及更新機型、iPad 第五代及更新機型、iPad mini 第五代及更新機型。
另外編號 CVE-2023-23514 安全漏洞是由知名盤古實驗室及Google Project Zero安全研究員共同通報,主要攻擊者能利用已釋放記憶體漏洞(use after free),導致惡意應用程式能夠掌握系統核心執行權限,設備受影響嚴重程度與 WebKit 漏洞差不多。
最後 macOS Ventura 也額外多出修補 CVE-2023-23522 漏洞,是由阿里巴巴集團安全研究人員發現,漏洞主要存在 macOS 捷徑內,惡意程式能夠直接讀取未加防護用戶資料。
蘋果也在安全修正頁面感謝多倫多大學蒙克學院的公民實驗室協助,僅管 iOS 16.3.1 、 iPadOS 16.3.1 沒有加入新功能,主要是修正功能錯誤和優化「車禍偵測」,目前 WebKit 漏洞已經遭到駭客使用,蘋果也呼籲用戶將作業系統更新到最新版本。
喜歡這篇文章教學,後續想了解更多Apple資訊、iPhone、Mac、3C隱藏技巧,歡迎追蹤 瘋先生FB粉絲團、瘋先生LINE@、訂閱瘋先生Google新聞、Telegram、Instagram以及 訂閱YouTube頻道,將會有更多非常實用的技巧教學分享給大家。