在WebKit的危險安全漏洞(CVE-2022-22620),相信已經被黑客主動地利用,而Apple已經為iOS和iPadOS推出緊急更新,並且建議盡早更新裝置,所以公司相信該漏洞已經被不知名人士所利用。
為甚麼安全漏洞CVE-2022-22620很危險?
一如以往,Apple的專家直至調查完結,而大部份用戶已安裝補丁前,都沒有公開安全漏洞的詳情,暫時他們只表示漏洞屬於Use-After-Free(UAF)級別,因此它與不正確使用應用程式內的dynamic memory有關。該漏洞容許攻擊者創建惡意網頁內容,最終導致在受害者裝置上執行任意代碼。最常見的「中招」劇本是iPhone或iPad裝置因為瀏覽過惡意網頁,結果受到感染。
受影響裝置和應用程式
根據描述判斷,CVE-2022-22620在WebKit內被發現,它被使用在很多macOS、iOS和Linux的應用程式,特別是所有iOS和iPadOS瀏覽器都是基於這個開源引擎,並不單只是Safari,Google Chrome、Mozilla Firefox和其他瀏覽器也受影響。
Apple已經發放iPhone 6s及以後裝置的更新,所有型號的iPad Pro、iPad Air version 2及以後、iPad第5代以後、iPad Mini第4代以後,以及iPod Touch第7代以後。
如何保持安全
Apple在2月10日推出補丁改變記憶體控制機制,並且預防CVE-2022-22620被利用,所以為了保護你的裝置,應該安裝iOS 15.3.1和iPadOS 15.3.1更新,不過謹記安裝補丁需要連接Wi-Fi網絡。如果你的裝置沒有顯示可以安裝的更新,大家可以手動令更新出現的早一點,進入Settings > General > Software update便能檢查有否已存在的更新。
資料來源:Kaspersky blog