【保障安全】Apple及Google公布零日漏洞　HKCERT呼籲用戶盡快更新

Apple 及 Google 最近分別公布及修補旗下產品的零日漏洞，報告指出，已偵測到有黑客利用這些漏洞發動攻擊。香港生產力促進局轄下的香港電腦保安事故協調中心（HKCERT）呼籲用戶立即更新，以堵塞由漏洞所產生的惡意攻擊。

Apple 所公布的兩個零日漏洞，分別為 CVE-2023-28205 及 CVE-2023-28206，針對蘋果瀏覽器 Safari 內的 WebKit 元件及管理硬體的內部程式。受影響的系統包括 iOS 15.7.5、iOS 16.4.1、iPadOS 15.7.5、iPadOS 16.4.1、macOS Big Sur 11.7.6、macOS Monterey 12.6.5 及 macOS Ventura 13.3.1 之前的版本。 

黑客只需發送釣魚訊息，誘騙用戶瀏覽惡意網站或安裝惡意應用程式，便可觸發漏洞入侵系統。而漏洞 CVE-2023-28206 甚至能令黑客以系統內核權限執行任意程式碼，成功後可控制系統內的所有資源，包括在系統背後安裝無認證過的應用程式，並存取裝置上所有資料。

至於 Google 公布及修補的零日漏洞，是針對 Google Chrome 的，嚴重可導致瀏覽器崩潰或執行任意代碼。由於 Microsoft Edge 是基於 Google Chromium 瀏覽器引擎運行，因此亦受上述漏洞影響。受影響的 Google Chrome 及 Microsoft Edge 分別包括 112.0.5615.121 及 112.0.1722.48 之前的版本。  

上述零日漏洞識別為 CVE-2023-2033，針對 Google Chrome 內 V8 JavaScript 引擎中引發的類型混淆錯誤。黑客只需發送釣魚訊息，誘騙用戶瀏覽惡意構造的 HTML 頁面，便可觸發漏洞入侵系統。漏洞 CVE-2023-2033 甚至能令黑客以系統內核權限執行任意程式碼，成功後可在系統內執行任意程式碼作惡意攻擊。 

HKCERT 呼籲上述裝置用戶盡快更新，又提醒大家要將所有流動設備或電腦的作業系統和應用程式，保持在最新狀態，並應只從官方應用程式商店下載程式。流動裝置用戶亦要安裝可靠的防毒應用程式，偵測已知的惡意程式與惡意網站，並且設定裝置密碼鎖或螢幕鎖，確保裝置遭偷竊或遺失時，資料亦不會被其他人輕易偷取。

相關文章：【針對Chromium產品】瀏覽器擴展程式Rilide　繞過2FA竊加密貨幣