資料來源:TANet CERT台灣學術網路危機處理中心
https://www.twcert.org.tw/tw/cp-104-4348-7c374-1.html
Apple 日前推出最新版 iOS 14.4,同時修復三個 0-day 漏洞,其中有兩個可使駭侵者遠端執行任意程式碼; iOS 裝置用戶應立即更新到最新版本。
Apple 日前推出最新版 iOS 14.4、iPadOS 14.4,同時修復三個 0-day 漏洞,其中有兩個可使駭侵者遠端執行任意程式碼; iOS 裝置用戶應立即更新到最新版本。
在 Apple 隨著新版 iOS 與 iPadOS 發表的資安更新文件中指出,這次得到更新的三個 0-day 漏洞,其 CVE 編號分別為 CVE-2021-1782、CVE-2021-1870、CVE-2021-1871。
其中 CVE-2021-1782 屬於「執行權限提升」型資安漏洞,發生在 iOS 與 iPadOS 的作業系統核心區;駭侵者可利用此漏洞,提升自己在作業系統中的執行權限。Apple 指出該公司已發現這個漏洞遭到大規模利用。
CVE-2021-1782 的 CVSS 危險程度評分為 8.4 分,其危險等級為「高」。
另外兩個得到修復的 0-day 資安漏洞 CVE-2021-1870 與 CVE-2021-1871,都發生在 Safari 瀏覽器使用的 WebKit 引擎核心。駭侵者可以利用這兩個漏洞,遠端執行任意程式碼。同樣的,Apple 在說明文件中也表示,已經收到駭侵者大規模利用這兩個漏洞發動攻擊行動的通報。
CVE-2021-1870 和 CVE-2021-1871 的 CVSS 危險程度評分,和前一個漏洞 CVE-2021-1782 相同,也是 8.4 分,其危險等級同樣為「高」。
Apple 指出,以下 iOS 裝置的使用者,包括 iPhone 6s 與所有後續機種、iPad Air 2 與所有後續機種、iPad mini 4 與所有後續機種,以及 iPod touch(第 7 代),都應立即更新為 iOS 14.4 或 iPadOS 14.4,以避免遭到駭侵者利用這三個 0-day 漏洞發動攻擊。
- CVE編號:CVE-2021-1782、CVE-2021-1870、CVE-2021-1871
- 影響產品:iPhone 6s 與所有後續機種、iPad Air 2 與所有後續機種、iPad mini 4 與所有後續機種,以及 iPod touch(第 7 代)
- 解決方案:立即更新至 iOS 14.4 或 iPadOS 14.4