【保障安全】Apple及Google公布零日漏洞 HKCERT呼籲用戶盡快更新
Apple 及 Google 最近分別公布及修補旗下產品的零日漏洞,報告指出,已偵測到有黑客利用這些漏洞發動攻擊。香港生產力促進局轄下的香港電腦保安事故協調中心(HKCERT)呼籲用戶立即更新,以堵塞由漏洞所產生的惡意攻擊。
Apple 所公布的兩個零日漏洞,分別為 CVE-2023-28205 及 CVE-2023-28206,針對蘋果瀏覽器 Safari 內的 WebKit 元件及管理硬體的內部程式。受影響的系統包括 iOS 15.7.5、iOS 16.4.1、iPadOS 15.7.5、iPadOS 16.4.1、macOS Big Sur 11.7.6、macOS Monterey 12.6.5 及 macOS Ventura 13.3.1 之前的版本。
黑客只需發送釣魚訊息,誘騙用戶瀏覽惡意網站或安裝惡意應用程式,便可觸發漏洞入侵系統。而漏洞 CVE-2023-28206 甚至能令黑客以系統內核權限執行任意程式碼,成功後可控制系統內的所有資源,包括在系統背後安裝無認證過的應用程式,並存取裝置上所有資料。
至於 Google 公布及修補的零日漏洞,是針對 Google Chrome 的,嚴重可導致瀏覽器崩潰或執行任意代碼。由於 Microsoft Edge 是基於 Google Chromium 瀏覽器引擎運行,因此亦受上述漏洞影響。受影響的 Google Chrome 及 Microsoft Edge 分別包括 112.0.5615.121 及 112.0.1722.48 之前的版本。
上述零日漏洞識別為 CVE-2023-2033,針對 Google Chrome 內 V8 JavaScript 引擎中引發的類型混淆錯誤。黑客只需發送釣魚訊息,誘騙用戶瀏覽惡意構造的 HTML 頁面,便可觸發漏洞入侵系統。漏洞 CVE-2023-2033 甚至能令黑客以系統內核權限執行任意程式碼,成功後可在系統內執行任意程式碼作惡意攻擊。
HKCERT 呼籲上述裝置用戶盡快更新,又提醒大家要將所有流動設備或電腦的作業系統和應用程式,保持在最新狀態,並應只從官方應用程式商店下載程式。流動裝置用戶亦要安裝可靠的防毒應用程式,偵測已知的惡意程式與惡意網站,並且設定裝置密碼鎖或螢幕鎖,確保裝置遭偷竊或遺失時,資料亦不會被其他人輕易偷取。
相關文章:【針對Chromium產品】瀏覽器擴展程式Rilide 繞過2FA竊加密貨幣