Apple 日前發表新版 iOS 15.6.1、iPadOS 15.6.1 與 macOS Monterey 12.5.1,修復兩個已遭大規模用於攻擊的 0-day 漏洞;所有 iPhone、iPad、Mac 用戶應立即更新,以避免遭駭侵者透過未修補漏洞發動攻擊得逞。
獲得修復的 2 個 0-day 漏洞,都存在於 iOS、iPad OS 和 macOS 中。第一個漏洞為 CVE-2022-32894,存於作業系統核心內,是一個越界資訊寫入漏洞;駭侵者可透過該漏洞,以作業系統核心權限執行任意程式碼。
由於核心權限極大,因此取得核心權限執行的惡意程式,幾乎可以毫無限制地取用任何系統與軟硬體資源;亦即完全控制受駭的裝置。不過駭侵者需取得本機使用權,才能誘發此漏洞。
CVE-2022-32894 的 CVSS 危險程度評分為 8.4 分,危險程度評級為「高」。
第二個 0-day 漏洞 CVE-2022-32893 則發生在 iOS、iPad OS、macOS 中 WebKit 組件之中,該組件是系統預設瀏覽器 Safari 的核心,也會用在各種能存取 web 資源的 app 內。漏洞本身也是一種越界資訊寫入錯誤,發生於 Safari 對 html 內容的處理過程。
發布單位:TWCERT/CC更新日期:2022-08-22
