蘋果推出 iOS 14.4，一次修復三個 0-day 嚴重資安漏洞

• 發布日期：110-02-26
• 發布單位：刑事警察大隊

參考網站：
蘋果推出 iOS 14.4，一次修復三個 0-day 嚴重資安漏洞
https://www.twcert.org.tw/tw/cp-104-4348-7c374-1.html

Apple 日前推出最新版 iOS 14.4、iPadOS 14.4，同時修復三個 0-day 漏洞，其中有兩個可使駭侵者遠端執行任意程式碼； iOS 裝置用戶應立即更新到最新版本。
在 Apple 隨著新版 iOS 與 iPadOS 發表的資安更新文件中指出，這次得到更新的三個 0-day 漏洞，其 CVE 編號分別為 CVE-2021-1782、CVE-2021-1870、CVE-2021-1871。

其中 CVE-2021-1782 屬於「執行權限提升」型資安漏洞，發生在 iOS 與 iPadOS 的作業系統核心區；駭侵者可利用此漏洞，提升自己在作業系統中的執行權限。Apple 指出該公司已發現這個漏洞遭到大規模利用。

CVE-2021-1782 的 CVSS 危險程度評分為 8.4 分，其危險等級為「高」。
另外兩個得到修復的 0-day 資安漏洞 CVE-2021-1870 與 CVE-2021-1871，都發生在 Safari 瀏覽器使用的 WebKit 引擎核心。駭侵者可以利用這兩個漏洞，遠端執行任意程式碼。同樣的，Apple 在說明文件中也表示，已經收到駭侵者大規模利用這兩個漏洞發動攻擊行動的通報。
CVE-2021-1870 和 CVE-2021-1871 的 CVSS 危險程度評分，和前一個漏洞 CVE-2021-1782 相同，也是 8.4 分，其危險等級同樣為「高」。
Apple 指出，以下 iOS 裝置的使用者，包括 iPhone 6s 與所有後續機種、iPad Air 2 與所有後續機種、iPad mini 4 與所有後續機種，以及 iPod touch（第 7 代），都應立即更新為 iOS 14.4 或 iPadOS 14.4，以避免遭到駭侵者利用這三個 0-day 漏洞發動攻擊。
CVE編號：CVE-2021-1782、CVE-2021-1870、CVE-2021-1871
影響產品：iPhone 6s 與所有後續機種、iPad Air 2 與所有後續機種、iPad mini 4 與所有後續機種，以及 iPod touch（第 7 代）
解決方案：立即更新至 iOS 14.4 或 iPadOS 14.4

相關連結
About the security content of iOS 14.4 and iPadOS 14.4
Apple Patches Three Actively Exploited Zero-Days, Part of iOS Emergency Update