近期瀏覽器引擎 WebKit 含有 3 個已發生實際攻擊的漏洞,造成 WebKit 在處理網頁內容時,可能外洩敏感資訊,或引發遠端程式攻擊。Apple公司 5/18 推出了 iOS、iPadOS、macOS、tvOS、watchOS 和 Safari 網絡瀏覽器的安全更新,以解決數十個漏洞,其中就包括 WebKit 三個新的零時差漏洞。
更新內容
WebKit 是Apple於 1998 年發表的瀏覽器引擎,是一個開源的 Web 瀏覽器引擎 (Web browser engine),它被用於 Apple Safari,亦使用於 Apple iOS、BlackBerry Tablet OS、Tizen 及 Amazon Kindle 的預設瀏覽器。
5/18 更新的 WebKit 零時差漏洞如下:
CVE-2023-32409:WebKit 缺陷,駭客可利用該缺陷突破 Web 內容沙箱。已通過改進邊界檢查解決這個問題。
CVE-2023-28204:WebKit 中的越界讀取問題,在處理 Web 內容時可能被濫用以洩露敏感信息。已通過改進輸入驗證解決這個問題。
CVE-2023-32373:WebKit 中的使用後釋放漏洞,當處理惡意設計的網頁內容時,可能導致任意程式碼執行。已通過改進內存管理來解決這個問題。
Apple 已通過改進邊界檢查、輸入驗證和內存管理解決了 macOS Ventura 13.4、iOS 和 iPadOS 16.5、tvOS 16.5、watchOS 9.5 和 Safari 16.5 中的三個零時差漏洞。經研究人員推測,這些漏洞可能被利用作為高度針對性的入侵手段,用於在異議人士、記者和人權活動家等人的設備上部署僱傭間諜軟體。
受 WebKit 漏洞影響的設備列表非常廣泛,其中包含較舊和較新的型號:
iPhone 6s(所有機型)、iPhone 7(所有機型)、iPhone SE(第 1 代)、iPad Air 2、iPad mini(第 4 代)、iPod touch(第 7 代)和 iPhone 8 及更新機型
iPad Pro(所有機型)、iPad Air 第三代及更新機型、iPad 第五代及更新機型、iPad mini 第五代及更新機型
運行 macOS Big Sur、Monterey 和 Ventura 的 Mac
Apple Watch Series 4 及更新機型
Apple TV 4K(所有型號)和 Apple TV HD
Apple 對此僅表示已知道這些漏洞正被利用,但沒有透漏有關這些攻擊的任何信息。而 Google 威脅分析小組的 Clément Lecigne 和國際特赦組織安全實驗室的 Donncha Ó Cearbhaill 近日報告了 CVE-2023-32409,可能代表這個零時差漏洞真的被利用在政客、記者、持不同政見者等的智能手機和其他電子設備上,並被部署間諜軟件來竊取隱私訊息。
參考資料:
Apple修補3個已遭攻擊的零時差漏洞 (19 May 2023)
-https://www.ithome.com.tw/news/156955
WebKit Under Attack: Apple Issues Emergency Patches for 3 New Zero-Day Vulnerabilities (19 May 2023)
-https://thehackernews.com/2023/05/webkit-under-attack-apple-issues.html
Apple fixes three new zero-days exploited to hack iPhones, Macs (18 May 2023)
-https://www.bleepingcomputer.com/news/apple/apple-fixes-three-new-zero-days-exploited-to-hack-iphones-macs/