【 資安警訊 】- 蘋果發布 iPhone、iPad 更新,修補 VoiceOver可能洩露密碼的漏洞
發布編號:OIS-CTI-2024-10-003
情資來源:iThome
事件類型:漏洞警訊公告
內容說明:
上週蘋果推出新版 iOS及 iPadOS,並公告 2 項漏洞,其中比較特別的是 CVE-2024-44204,因為若不處理,手機或平板有可能透過 VoiceOver 念出密碼。
10 月 3日蘋果發布 iOS 18.0.1、iPadOS 18.0.1,總共修補 2 個資安漏洞,其中由研究人員 Bistrit Daha 通報的 CVE-2024-44204 特別引起注意,因為存在漏洞的裝置有可能藉由 VoiceOver 機制,大聲朗讀使用者的密碼。。
針對這項漏洞發生的原因,蘋果指出是因為密碼(Passwords)元件的驗證機制存在邏輯錯誤,影響 iPhone XS、13 吋 iPad Pro、第 3 代 12.9 吋 iPad Pro、11 吋 iPad Pro、第 3 代 iPad Air、第 7 代 iPad,以及第 5 代 iPad mini 與其後繼機種。
另一個漏洞 CVE-2024-44207,僅影響 iPhone 16 全系列機種,這項漏洞涉及 Media Session 元件,使得 Messages 能在麥克風指示燈啟動的數秒前截取聲音。
影響設備:
iPhone、iPad
影響型號:
iPhone XS、13 吋 iPad Pro、第 3 代 12.9 吋。
iPad Pro、11 吋 iPad Pro、第 3 代 iPad Air
第 7 代 iPad,以及第 5 代 iPad mini 與其後繼機種
iPhone 16
官方建議措施:
更新至 iOS 18.0.1 和 iPadOS 18.0.1 安全性更新
參考連結: