在 2022年10月24日,Apple 公佈其修補了今年度第九個被利用的零時差漏洞 (CVE-2022-42827)。
Apple 官方表示,此漏洞主要針對 Apple 的移動產品,主要包含了:iphone 8 以及之後的iphone版本'、ipad air 3 之後的版本、所有的ipad pro版本和ipad 5 之後的版本等等。漏洞的主要內容是一個越界寫入 (out-of-bounds write) 風險,指的是「惡意軟體會在系統預期的緩衝區之外寫入資料」,一般可能會造成資料損毀、應用程式當掉或是允許特定程式的執行。」若此漏洞受到成功的利用,惡意攻擊者取得內核的權限 (kernal privileges) 並執行惡意的程式碼。
Apple 說明,目前的 iOS 16.1 和 iPadOS 16 版本皆已針對此漏洞進行軟體更新,並請用戶們對用戶的設備進行上述版本的更新;並表示在多數用戶完成版本更新之後,會再公佈更多與此漏洞相關的細節。
參考資料
Apple fixes new zero=day used in attacks against iPhones, iPads, bleepingcomputer (Oct 24, 2022)- https://www.bleepingcomputer.com/news/apple/apple-fixes-new-zero-day-used-in-attacks-against-iphones-ipads/
Apple fixes actively exploited iOS and iPadOS zero-day vulnerability, infosecurity (Oct 25, 2022)- https://www.infosecurity-magazine.com/news/apple-fixes-exploited-ios-and/
【資安日報】2022年10月25日,…蘋果修補已被用於攻擊的iOS零時差漏洞, iThome (Oct 25 2022)- https://www.ithome.com.tw/news/153807