保安警報 (A19-09-07): Apple 裝置多個漏洞

描述:

Apple 發布了iOS 12.4.2、iOS 13.1 及 iPadOS 13.1 以應對於Apple裝置中發現的多個安全漏洞。攻擊者可發送惡意製的訊息、誘使用戶開啓包含特製內容的檔案或網站或以物理存取繞過屏幕鎖定，從而攻擊這個漏洞。

Apple已發布iOS 13.1.1 及 iPadOS 13.1.1，以包含對另一個安全漏洞（CVE-2019-8779）的應對。成功利用這個漏洞可能會允許第三方應用程序擴展突破沙盒限制，並在沒有用戶許可的情況下完全存取裝置功能及資源。建議用戶將受影響Apple裝置的操作系統升級至最新版本。

受影響的系統:

• iPhone 5s 及之後的型號
• iPad Air 及之後的型號、mini2 及之後的型號
• iPod touch (第6代) 及之後的型號

影響:

成功利用這個漏洞可以導致泄漏資訊、執行任意程式碼、程式意外終止、仿冒詐騙或繞過保安功能。

建議:

產品供應商發行了操作系统新版本應對以上問題。

• iOS 12.4.2 (iPhone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3 及 iPad touch 第6代)
  https://support.apple.com/en-hk/HT210590
  
  
• iOS 13.1 及 iPadOS 13.1 (iPhone 6s及之後的型號、iPad Air 2及之後的型號、iPad mini 4 及之後的型號及iPod touch第7代)
  https://support.apple.com/en-hk/HT210603
  
  

用戶可透過產品本身的自動更新裝置來更新軟件。受影響系統的用戶應遵從產品供應商的建議，立即採取行動以降低風險。

進一步資訊:

https://support.apple.com/en-hk/HT210590
https://support.apple.com/en-hk/HT210603
https://support.apple.com/en-hk/HT210606
https://support.apple.com/en-us/HT210613
https://support.apple.com/en-us/HT210624
https://www.hkcert.org/my_url/zh/alert/19092702
https://www.us-cert.gov/ncas/current-activity/2019/09/25/apple-releases-security-updates
https://www.us-cert.gov/ncas/current-activity/2019/09/27/apple-releases-security-updates
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8641
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8674
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8704
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8705
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8711
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8727
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8731
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8742
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8760
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8775
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8779