蘋果(Apple)近期公布並修補了兩個針對不同軟體產品的零日漏洞,蘋果裝置有危險?報告指出已經偵測到黑客利用這些漏洞發動攻擊,進一步可能導致整個系統被操控。受影響的系統包括:iOS 15.7.5、iOS 16.4.1、iPadOS 15.7.5、iPadOS 16.4.1、macOS Big Sur 11.7.6、macOS Monterey 12.6.5及macOS Ventura 13.3.1之前的版本。
蘋果裝置有危險,兩個新發現個零日漏洞
至於兩個零日漏洞分別為CVE-2023-28205同CVE-2023-28206,針對蘋果瀏覽器Safari內的WebKit元件及管理硬體的內部程式。黑客只需發送釣魚訊息,誘騙用戶瀏覽惡意網站或安裝惡意應用程式,便可觸發漏洞入侵系統。而漏洞CVE-2023-28206甚至能令黑客以系統內核權限執行任意程式碼,成功後可控制系統內的所有資源,包括在系統背後安裝無認證過的應用程式及存取裝置上所有資料。
香港生產力促進局轄下的香港電腦保安事故協調中心(HKCERT)呼籲本地蘋果裝置用戶應儘快更新,以堵塞由漏洞所產生的惡意攻擊;又提醒大家要將所有流動設備或電腦的作業系統和應用程式保持在最新狀態。此外,應只從官方應用程式商店下載程式。流動裝置用戶亦要安裝可靠的防毒應用程式,偵測已知的惡意程式與惡意網站;並且設定裝置密碼鎖或螢幕鎖,確保裝置遭偷竊或遺失時,資料亦不會被其他人輕易偷取。最後緊記切勿貪圖安裝更多功能,將流動裝置解鎖(Jailbreak),取消原有的保安機制。
如欲了解更多蘋果產品的保安工具,請瀏覽: https://www.hkcert.org/tc/security-bulletin/apple-products-remote-code-execution-vulnerabilities_20230411
什麼是零日漏洞?
零日漏洞(Zero-day vulnerability)是指一種未被軟體開發者或廠商知曉的安全漏洞。在這種情況下,黑客或惡意攻擊者可以利用這些漏洞來攻擊系統或軟體,而開發者或廠商還沒有推出相關的安全補丁或修補程式來解決問題。因為這些漏洞尚未被發現,所以攻擊者可以利用漏洞進行攻擊而不被偵測到,這對系統的安全造成了嚴重的威脅。
