【新闻来源】
原网址:https://www.ithome.com.tw/news/158904
(原始未删减的网址,未提供者水桶60日)
短网址:
(若原网址过长时请尽可能提供短网址,反之免提供)
【新闻内容】
苹果紧急更新iOS与macOS等平台,修补3个已遭滥用的零时差漏洞
苹果周四(9/21)紧急更新了macOS、iOS、iPadOS、watchOS及Safari,修补3个已经遭到
骇客滥用的零时差漏洞。
此次苹果所修补的安全漏洞分别是CVE-2023-41991、CVE-2023-41992与CVE-2023-41993,
其中的CVE-2023-41991允许恶意程式绕过签名验证,此一漏洞同时存在于macOS、iOS、
iPadOS及watchOS上。CVE-2023-41992则为核心漏洞,允许本地端骇客扩充权限,亦同时
存在于macOS、iOS、iPadOS及watchOS上。
CVE-2023-41993漏洞位于WebKit中,其网页内容处理功能可能导致任意程式执行,主要影
响iOS、iPadOS与Safari。
虽然上述漏洞涉及不同的平台,但迄今所发现的攻击行动皆是锁定 iOS 16.7以前的iOS版
本,显示实际遭到攻击的装置为iPhone。此外,相关漏洞都是由加拿大公民实验室(
Citizen Lab)的Bill Marczak与Google威胁分析小组的Maddie Stone所提报。
本月上旬苹果才修补了两个亦是由公民实验室发现的零时差漏洞,当时骇客利用这两个漏
洞入侵了iPhone,并植入Pegasus间谍程式。今年以来苹果所修补的零时差漏洞数量已达
到16个。
【观后心得】
如果你的iOS是16.7以前请尽快更新!这几个都是旧版本的漏洞,能够让骇客扩张权限,
一旦你的手机被偷走,很可能会让内部的资料外泄,这比耗电量还要更严重,而使用
Safari则可能外泄网站帐密