按Enter到主內容區

蘋果推出 iOS 14.4,一次修復三個 0-day 嚴重資安漏洞

  • 發布日期:110-02-26
  • 發布單位:刑事警察大隊

參考網站:
蘋果推出 iOS 14.4,一次修復三個 0-day 嚴重資安漏洞
https://www.twcert.org.tw/tw/cp-104-4348-7c374-1.html

Apple 日前推出最新版 iOS 14.4、iPadOS 14.4,同時修復三個 0-day 漏洞,其中有兩個可使駭侵者遠端執行任意程式碼; iOS 裝置用戶應立即更新到最新版本。
在 Apple 隨著新版 iOS 與 iPadOS 發表的資安更新文件中指出,這次得到更新的三個 0-day 漏洞,其 CVE 編號分別為 CVE-2021-1782、CVE-2021-1870、CVE-2021-1871。

其中 CVE-2021-1782 屬於「執行權限提升」型資安漏洞,發生在 iOS 與 iPadOS 的作業系統核心區;駭侵者可利用此漏洞,提升自己在作業系統中的執行權限。Apple 指出該公司已發現這個漏洞遭到大規模利用。

CVE-2021-1782 的 CVSS 危險程度評分為 8.4 分,其危險等級為「高」。
另外兩個得到修復的 0-day 資安漏洞 CVE-2021-1870 與 CVE-2021-1871,都發生在 Safari 瀏覽器使用的 WebKit 引擎核心。駭侵者可以利用這兩個漏洞,遠端執行任意程式碼。同樣的,Apple 在說明文件中也表示,已經收到駭侵者大規模利用這兩個漏洞發動攻擊行動的通報。
CVE-2021-1870 和 CVE-2021-1871 的 CVSS 危險程度評分,和前一個漏洞 CVE-2021-1782 相同,也是 8.4 分,其危險等級同樣為「高」。
Apple 指出,以下 iOS 裝置的使用者,包括 iPhone 6s 與所有後續機種、iPad Air 2 與所有後續機種、iPad mini 4 與所有後續機種,以及 iPod touch(第 7 代),都應立即更新為 iOS 14.4 或 iPadOS 14.4,以避免遭到駭侵者利用這三個 0-day 漏洞發動攻擊。
CVE編號:CVE-2021-1782、CVE-2021-1870、CVE-2021-1871
影響產品:iPhone 6s 與所有後續機種、iPad Air 2 與所有後續機種、iPad mini 4 與所有後續機種,以及 iPod touch(第 7 代)
解決方案:立即更新至 iOS 14.4 或 iPadOS 14.4


相關連結
About the security content of iOS 14.4 and iPadOS 14.4
Apple Patches Three Actively Exploited Zero-Days, Part of iOS Emergency Update