苹果本周针对较早版本iOS、iPadOS装置释出更新版本,修补已被Operation Triangulation骇客滥用的2个安全漏洞。
这波释出的是 iOS/iPadOS 16.5.1 及 iOS/iPadOS 15.7.7。 这波更新包含2个安全漏洞的补丁。 其中一个是CVE-2023-32434,是一个影响操作系统核心的整数溢位漏洞,能让恶意程序以核心权限执行任意代码。 另一个是CVE-2023-32439,为Safari浏览器引擎WebKit中的型态混淆漏洞,可让攻击者传送网页链接,诱使用户点击造访,引发任意程式码执行。 苹果说已接获通报这2个漏洞遭到积极滥用。
发现该漏洞的安全业者之一卡巴斯基6月首先公告这波攻击,并将这波攻击称为Operation Triangulation。 卡巴斯基发现攻击者传送附有恶意附件的iMessage给受害者,用户无需任何动作,只要点击消息即可触发漏洞安装恶意程序,并启动后续下载,最终植入间谍软件。 卡巴斯基的员工也因此中招。
卡巴斯基追查到最早感染时间为2019年,到目前攻击仍然在进行中,最后受影响的iOS版本为15.7版,意谓受影响的只有iOS 15.7以前版本的装置。
以产品而言,则为iPhone 8、iPad Air 3、iPad 5、iPad mini 5及以后版本,以及iPad Pro所有机型。
这波攻击的主谋为谁仍不得而知,但同一天俄罗斯联邦安全局(Federal Security Service,FSB)指控美国发动攻击,以恶意程序感染数千名俄国iPhone用户,受害者包括一般人民及外交官员,且苹果知情却坐视不理。
但卡巴斯基以缺乏证据为由,表示无法证实此事。
苹果同时释出macOS Ventura 13.4.1修补这2个漏洞。 watchOS 8.8.1则只修补了CVE-2023-32434。
