【網絡安全2024】香港電腦保安事故協調中心(HKCERT)提醒公眾,儘快更新蘋果產品軟件,以防止最近針對系統漏洞的網絡攻擊。
有黑客利用此零日漏洞發動攻擊
蘋果公司(Apple)於1月22日凌晨公布及修補多個針對不同軟件產品的漏洞。其中之一是編號為 CVE-2024-23222 的零日漏洞,報告指出已偵測到有黑客利用此零日漏洞發動攻擊。今次所公布的受影響產品包括iPhone、iPad、Apple Watch、Apple TV、Mac電腦和瀏覽器,相關的系統版本包括Safari 17.3、iOS 17.3、iPadOS 17.3、iOS 16.7.5、iPadOS 16.7.5、macOS Sonoma 14.3、macOS Ventura 13.6.4、macOS Monterey 12.7.3、tvOS 17.3及watchOS 10.3之前的版本。
至於零日漏洞CVE-2024-23222,於Apple的 WebKit 瀏覽器引擎中發現,攻擊者可利用它在目標設備上執行任意代碼。攻擊者可以誘導受害者瀏覽包含特別設計的惡意內容的網頁來進行入侵攻擊。
HKCERT:呼籲本地Apple裝置用戶應儘快更新設備
此外,Apple亦將另外兩個 WebKit 零日漏洞(CVE-2023-42916 和 CVE-2023-42917)的修補程式移植到較舊的 iPhone 和 iPad 型號。這些漏洞已於2023年11月解決和修補,現在將保護範圍擴展到較舊的設備。Apple已公布iOS 15.8.1 及 iPadOS 15.8.1系統更新予較舊的設備,包括iPhone 6s (所有型號)、iPhone 7 (所有型號)、iPhone SE (第一代)、iPad Air 2、iPad mini (第四代)、及iPod touch(第七代)。
香港電腦保安事故協調中心(HKCERT)呼籲本地Apple裝置用戶應儘快更新設備,以堵塞由漏洞所產生的惡意攻擊;又提醒大家需要將所有流動設備或電腦的作業系統和應用程式保持在最新狀態。
流動裝置保安貼士
市民亦可留意以下流動裝置保安貼士:
- 請勿點擊或開啟任何來源不明的連結,包括來自電子郵件、短訊、即時通訊應用程式、社交媒體平台、二維碼、彈出視窗等的可疑連結
- 應只從官方應用程式商店下載程式
- 安裝可靠的防毒應用程式,偵測已知的惡意程式及網站
- 開啟屏幕閒置自動鎖定,使用強密碼、指紋或人臉識別鎖定裝置,確保即使裝置遭偷竊或遺失時,資料亦不會被其他人輕易偷取
- 切勿貪圖安裝更多功能,將流動裝置解鎖(Jailbreak),取消原有的保安機制
- 備份手機資料,以免手機被盜而造成資料外洩
- 切勿隨意連接陌生充電器或USB充電線,以免遭受黑客攻擊
- 盡量使用安全可靠的Wi-Fi網絡,避免連接公共Wi-Fi
