[新聞] 蘋果緊急修補已被開採的兩個零時差漏洞

dxzy 發表於 2022/8/20 上午9:48:52

看板MobileComm標題[新聞] 蘋果緊急修補已被開採的兩個零時差漏洞作者

(好了啦英堅粉)時間Aug 20 09:48:52 2022推噓23 推:26 噓:3 →:89

※ 引述《plzza0cats (沙花叉クロヱ的狗)》之銘言：
: 最新調查顯示，49%安卓手機使用者考慮改用蘋果iPhone，原因是蘋果手機在安全和隱私保
: 護方面「感覺上更勝一籌」。以特定機種比較，受訪者認為iPhone 13 Pro Max使用起來比
: 三星的Galaxy S22 Ultra更令人安心。
: 據Beyond Identity對約1,000名美國民眾調查，76%蘋果用戶認為蘋果的iOS作業系統愈來愈
: 安全，74%安卓用戶也這麼認為。
: 若是再細分成不同機種用戶，iPhone 13 Pro Max用戶的安全感遠高於Galaxy S22 Ultra用
: 戶。在iPhone 13用戶中，認為目前使用的手機是至今用過最安全手機的比率，是三星用戶
: 的逾兩倍。

1.原文連結：
https://www.ithome.com.tw/news/152559
2.原文標題：
蘋果緊急修補已被開採的兩個零時差漏洞，波及Mac、iPhone與iPad
3.原文來源(媒體/作者)：
iThome 文/陳曉莉 2022-08-18
4.原文內容：

　　蘋果本周三（8/17）緊急修補了兩個安全漏洞CVE-2022-32894與CVE-2022-32893，
它們同時存在於iOS、iPadOS與macOS上，皆為程式執行漏洞，而且都已遭到駭客開採。

　　其中的CVE-2022-32894存在於Kernel中，屬於越界寫入漏洞，
允許程式以核心權限執行任意程式；至於CVE-2022-32893則藏匿在WebKit中，
同樣為越界寫入漏洞，當WebKit處理惡意的特製網頁內容時，
可能導致任意程式執行。蘋果藉由改善邊界檢查修補了這兩個安全漏洞。

　　這兩個安全漏洞都是由匿名的研究人員所提報，蘋果並未說明漏洞或攻擊細節，
僅說已得知這兩個漏洞都遭到實際的開採。

　　蘋果用戶應升級到蘋果於周三釋出的iOS 15.6.1、iPadOS 15.6.1與
macOS Monterey 12.5.1以防患未然。

5.心得/評論：
──────────────────────────────────────
打臉來得又快又急，三天前的農場新聞就被接下來的資安新聞肇逃撞飛，

大家都在警告快點更新修補，因為問題就是這麼糟糕。

平衡打擊，以下擷取片段附加解釋

【資安日報】2022年8月18日，駭客即將突破Android 13安全防護機制、
勒索軟體BlackByte 2.0網站提供新的付費項目
iThome 文/周峻佑 2022-08-18 https://www.ithome.com.tw/news/152569

　　駭客為了規避Android系統的防護機制，近期使用側載（Side Loading）手段來
執行惡意程式的情況越來越頻繁，對此Google在新版Android 13加入了防堵機制，
但在這套作業系統推出不到一天，就有資安業者提出警告，有駭客已經找到突圍的方法，很有可能讓上述防護措施無法發揮作用。

　　駭客組織Hadoken Group正在開發名為BugDrop惡意程式下載器（Dropper），
試圖以多階段安裝惡意軟體元件的做法，模仿從Google Play市集下載的App安裝流程，
突破這種防護措施，進而讓惡意軟體能取得輔助服務（Accessibility Service）的
權限來控制手機。研究人員表示，BugDrop雖然尚在開發階段，但是這種新的部署惡
意軟體手法，將可能會讓Android 13的防護機制失去作用。

Android 13原生的新規定，只要不是從Google Play下載App會有部分權限限制，
使用者可以透過點擊被反白的開關，再點右上方選擇賦予權限，並非完全鎖死，
但如果出現這類第三方的惡質下載器，就會讓13的「微」改動直接蒸發掉，
沒有變更危險，因為只是回到之前的情況而已。

講實話資安就是誰的安慰劑比較強，媒體射箭畫靶的新聞應該在M版被禁止。

※ PTT留言評論

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.32.253.42 (臺灣)

※ PTT 網址

推

lastpost08/20 09:55打臉什麼？Android每月都有安全更新，每個月都幾十個安

→

lastpost08/20 09:55全漏洞在修，這樣列出來不是更嚇人

→

class2153508/20 09:58新聞可以這樣隨意轉又不附標題來源喔

→

tr92008/20 10:00資安有點常識的都知道，沒有系統是完美無漏洞的，重點是更

→

tr92008/20 10:00新的速度與頻率（遠望現在還一堆Android6～9設備存活著）

→

PopeVic08/20 10:03打臉什麼？？？

推

ivon85208/20 10:04所以買google親兒子最有保障

→

dxzy08/20 10:12打臉農場記者受眾很敏感我沒有要引戰所以不多講任何話

→

dxzy08/20 10:14只是該更新就趕快去更新雖台灣遭遇此重大漏洞的機率很低

※ 編輯: dxzy (114.32.253.42 臺灣), 08/20/2022 10:17:00

推

s60517199508/20 10:17在原串崩不夠還要再發一篇不明所以的文繼續崩敏感

→

s60517199508/20 10:17的是你吧

→

qoopichu08/20 10:22說打臉就是打臉，有夠阿Q的

噓

velaro08/20 10:24...你爽就好

→

BenJMAS08/20 10:25最敏感的人應該是被一篇幾乎年年都要來一次的市調新聞刺

→

BenJMAS08/20 10:25激到要特別再去剪取新聞片段來回擊的人。

→

square408/20 10:25民用系統常被發現漏洞，在知悉者保密期限屆至、透露漏洞

→

square408/20 10:25細節後，仍未透過更新修補漏洞的裝置即存在風險，而這個

→

square408/20 10:25風險可能源自於廠商已停止更新，一般用戶難手動排除

→

dxzy08/20 10:25因為iOS連根毛都沒有我才貼的

※更正，有一根，我眼殘沒有發現。而且只有一個人在乎是安全更新，而不是在訕笑怒罵性能提升降低沒。iOS日常。 #1Y_IpbzA (iOS)

→

dxzy08/20 10:28上面誰覺得不重要你可以不要更這麼大的洞不是天天會出現

推

BIGETC08/20 10:37最怕安卓資安的是水果使用者流出一堆怪東西都不是卓卓

→

BIGETC08/20 10:37出來的則辯稱卓卓資料沒人要看

推

saokie08/20 10:42一個漏洞就死掉了，不懂資安的才會認為我只有兩個漏洞比一

→

saokie08/20 10:42堆漏洞的好太多了。

→

s80052508/20 10:45蘋果持續更新很多代，讓消費者"感覺"有更新等於更安全，

→

s80052508/20 10:45這問卷本來就沒說哪個安全，是問消費者的"感覺"

※ 編輯: dxzy (114.32.253.42 臺灣), 08/20/2022 10:58:33

噓

tr92008/20 10:54我實在覺得，連基本安全更新都做不太紮實的安卓，有什麼先

→

tr92008/20 10:54管好自己就好

→

dxzy08/20 11:01久仰920大名你感覺如何確實非常重要其他媒體應該管好安卓

→

dxzy08/20 11:02就好不要來發蘋果的新聞不要管先進國家的事因為有落後國

→

dxzy08/20 11:03家發這種新聞絕對是居心叵測美國CISA你是不是安卓同路人

→

dxzy08/20 11:04我改變主意了這下你們開心了嗎

推

tr92008/20 11:04樓上冷靜

推

saokie08/20 11:06改管好自己了縮了

推

saokie08/20 11:09蘋果這種封閉系統還這麼多洞，不過還是管好自己的蘋果就好

推

tr92008/20 11:12安卓開放式系統？不要說出來被笑，安卓上面的app程式應用

→

tr92008/20 11:12還有各中國廠魔改的功能，你找看看有沒有開源

→

dxzy08/20 11:20人家就是想彰顯自己一無所知，你不用跟他一般見識。

→

dxzy08/20 11:21眾所皆知封閉系統有多難搞，還被找出這麼大個洞，很罕見，

→

dxzy08/20 11:21有人想要土法煉鋼舊微軟OS，搞了老半天我不知道完成多少了，

→

dxzy08/20 11:23那才是真魔改，原版稱魔都都不為過，真正意義的蓋在沙堆上。

為避免歧意額外補充，破微軟有漏洞不稀奇，因為他們就蓋在漏洞上，哀鳳就不一樣了，全力為了避免被攻破還是被找到有大坑，這很高難度耶。

推

Ereinion989508/20 11:23更新速度才是重點沒錯，沒什麼系統是完美的。

※ 編輯: dxzy (114.32.253.42 臺灣), 08/20/2022 11:26:30

推

tr92008/20 11:27安卓中國廠躲在號稱開源的安卓環境下，寫了一堆閉源東西且

→

tr92008/20 11:27有系統的最高權限，這才是真正危險的東西，根本沒人監督

→

square408/20 11:34win nt閉源很多企業或機構用，戰開源閉源是偽命題

→

dxzy08/20 11:36所以連環境都閉的這又是另外一個問題了

推

tr92008/20 11:39所以d大現在還是斬釘截鐵覺得開源最安全嗎？

推

s21309292108/20 11:41安卓開源的可以讓公眾抓漏，ios封閉的就是沒有被陽光

→

s21309292108/20 11:41照到

→

s21309292108/20 11:42所以ios漏洞被抓到都很嚴重

→

s21309292108/20 11:43https://reurl.cc/GEArXD

→

dxzy08/20 11:46920 強烈建議您少說兩句你就不會活著自己找不舒服了

→

dxzy08/20 11:46沒有人這樣講是你不適合參與這樣講得夠明白了嗎

推

tr92008/20 11:47實務上，開源環境+更新不頻繁，這個組合簡直就是資安漏洞

→

tr92008/20 11:47最佳溫床，駭客的最愛，唾手可得的公開漏洞資訊搭配門戶大

→

tr92008/20 11:47開舊系統，不攻這個系統要攻誰

→

dxzy08/20 11:48攻你覺得自己超安全所以更新不勤快的哀鳳用戶阿還沒受害調查

※ 編輯: dxzy (114.32.253.42 臺灣), 08/20/2022 11:48:32

→

dxzy08/20 11:49不要太急著上車不管怎樣我沒資格說實務你應該也沒有

推

like125908/20 12:26吃飽太閒

→

ballcat08/20 12:30出更新修漏洞小事，可是更新不要弄到變慢讓人不想更啊

→

dxzy08/20 12:34Intel躺槍

→

bbbing08/20 12:49果然有蘋果，最安心

推

f7792808/20 12:50有安卓會做事蘋果什麼的資安問題最大了

推

p4040308/20 13:28三星有寫每個月都修了什麼漏洞

→

p4040308/20 13:28https://security.samsungmobile.com/securityUpdate.smsb

→

dxzy08/20 13:30走開啦

→

dxzy08/20 13:30只有原文有提到三星我沒有不要過來

推

guogu08/20 13:31自己手賤給權限的能算漏洞嗎?

推

saokie08/20 13:39中國廠魔改？雲上貴州蘋果的貴國，36樓你怎麼說

→

saokie08/20 13:39是叫石頭哥走對吧哈哈

推

hollen908/20 13:47照某樓講全世界 Server 九成都是 Linux 根本就是走在資安

→

hollen908/20 13:47鋼索上

→

hollen908/20 13:47怎不用 macOS 或 Windows

亂七八糟改一改。google大概要等到有更好的計劃，在不讓用戶為了取回便利而走向 root的情況下，暫時用這種半殘措施，減少這種用戶只開一扇窗就被未察覺的入侵，全拔掉真的很多人會腦殼疼，不拔掉又太期望使用者自律。 ※ 編輯: dxzy (114.32.253.42 臺灣), 08/20/2022 13:57:47

→

jjjj22208/20 14:35笑死一看就知道你外行人去了解一下資安好嗎

→

jjjj22208/20 14:38真的有夠丟臉的越看越想笑

→

dxzy08/20 14:47https://i.imgur.com/WDWrBTO.jpg