Apple 於日前緊急推出 iOS 14.5.1、 macOS Big Sur 等作業系統更新,修復兩個可能讓駭侵者遠端執行任意程式碼的嚴重 0-day 漏洞,iOS 與 Mac、Apple Watch 裝置用戶應立即更新。
Apple 於日前緊急推出 iOS 14.5.1、macOS BIg Sur 11.3.1、watchOS 7.4.1 更新,修復兩個可能讓駭侵者遠端執行任意程式碼的嚴重 0-day 漏洞;由於這兩個漏洞很可能已遭駭侵者用於攻擊,因此各種 iOS、Mac、Apple Watch 裝置的用戶應立即進行系統更新。
這兩個 0-day 漏洞都發生在系統網頁瀏覽器核心 WebKit 中。根據 Apple 發表的資安更新通報指出,CVE-2021-30665 的問題在狀態管理的錯誤,可能導致記憶體崩潰,而 CVE-2021-30663 則是輸入驗證發生錯誤,可能導致整數溢位錯誤。
駭侵者可以誘導受害者前往瀏覽特製的網頁,誘發上述 WebKit 錯誤後,即可利用這兩個漏洞,遠端執行任意程式碼,進而發動攻擊活動。
由於 WebKit 同為 Mac 電腦和 iOS 行動裝置内建預設的瀏覽器核心引擎,因此必須更新的裝置種類和數量極多;以 iOS 裝置來說,即包括 iPhone 6s 與之後所有機種、, iPad Pro 全系列、 iPad Air 2 與之後所有機種、iPad 第 5 代與之後所有機種、iPad mini 4 與之後所有機種、iPod touch 第 7 代等,當然還包括 iMac、Mac Pro、Macbook、Macbook Air、Macbook Pro 等多種 Mac 電腦,甚至也包括 Apple Watch Series 3 後所有機種。駭侵者如果能有效利用這兩個 0-day 漏洞,就可能對數量眾多的 iOS、macOS 與 Apple Watch 用戶造成嚴重威脅。
- CVE編號:CVE-2021-30665、CVE-2021-30663
- 影響產品/版本:
- iPhone 6s 與之後所有機種、iPad Pro 全系列、iPad Air 2 與之後所有機種、iPad 第 5 代與之後所有機種、iPad mini 4 與之後所有機種、iPod touch 第 7 代
- iMac、Mac Pro、Macbook、Macbook Air、Macbook Pro 等多種 Mac 電腦
- Apple Watch Series 3 後所有機種
- 解決方案:更新至 iOS 14.5.1、iOS 12.5.3、macOS 11.3.1、watchOS 7.4.1
沒有留言:
張貼留言