漏洞分享 - Apple 產品多個漏洞，使用者應盡速修補

Apple 產品多個漏洞，使用者應盡速修補

一、摘要

       Apple 發布了多個產品漏洞的安全更新，涉及 iOS、iPadOS、macOS、Safari、tvOS 和 watchOS。其中，CVE-2024-23222 漏洞尤為嚴重，遠端攻擊者可能利用此漏洞於使用者設備上任意執行程式碼，即便使用者尚未點擊可疑連結或執行惡意內容也會發生。Apple 已證實有報告表明此漏洞可能已被廣泛用於攻擊。此外，其他漏洞可能導致資料洩露、權限提升和繞過保安限制等問題。。

二、存在風險

        攻擊者可利用這些漏洞，造成目標設備產生以下風險：

• 任意程式碼執行：攻擊者可完全控制受影響系統，管理員權限都不比攻擊者的權限高。
• 資料洩露：攻擊者可竊取敏感資料，例如登入憑證、金融資訊和個人識別資料。
• 權限提升：攻擊者可獲得系統超高權限並執行各種惡意操作，例如安裝惡意軟體和存取機密資料。
• 繞過保安限制：攻擊者可繞過安全功能和措施，使其他攻擊更容易進行並造成更大的損害。

• 受影響之系統：
• iOS 16.7.5 及 iPadOS 16.7.5 以前的版本
• iOS 17.3 及 iPadOS 17.3 以前的版本
• macOS Monterey 12.7.3 以前的版本
• macOS Ventura 13.6.4 以前的版本
• macOS Sonoma 14.3 以前的版本
• Safari 17.3 以前的版本
• tvOS 17.3 以前的版本
• watchOS 10.3 以前的版本

• 高風險漏洞識別碼說明：
• CVE-2024-23222：此漏洞允許遠端攻擊者在目標系統上執行任意程式碼，即使使用者沒有點擊任何可疑連結或執行惡意內容，此漏洞已被廣泛利用，應立即安裝更新以修補此漏洞。
• CVE-2024-23203：此漏洞可能導致權限提升，允許攻擊者在受影響系統上獲得更高的權限級別。
• CVE-2024-23204：此漏洞可能導致資料洩露，允許攻擊者訪問和竊取受影響系統上的敏感資訊。

三、建議改善措施：

•  安裝更新：立即安裝 Apple 提供的最新軟體更新，以修補這些漏洞。
• 提高安全意識：使用者應提高安全意識，避免點擊可疑連結和執行惡意內容。
• 定期檢查安全性：組織應定期審查其安全態勢，確保使用最新的安全防護措施，包括安全軟體、防火牆和入侵檢測系統。

    情資報告連結：

• https://support.apple.com/en-us/HT214056
• https://support.apple.com/en-us/HT214059
• https://support.apple.com/en-us/HT214063
• https://support.apple.com/en-us/HT214061
• https://support.apple.com/en-us/HT214058
• https://support.apple.com/en-us/HT214057
• https://support.apple.com/en-us/HT214060
• https://support.apple.com/en-us/HT214055