iPhone用家注意!iOS 14.8發布會前緊急推出 修復嚴重安全漏洞
蘋果發布了針對一個具有嚴重威脅的「零日漏洞」的安全補丁,該漏洞影響到蘋果所有產品,包括iPhone、iPad、Mac和Apple Watch。
蘋果表示,iPhone和iPad運行的iOS 14.8,以及Apple Watch和MacOS的更新系統,將修復至少一個零日漏洞,並承認該漏洞「可能已被積極利用」。
這個漏洞是加拿大多倫多大學下屬「公民實驗室」(Citizen Lab)首先發現的,並敦促其用户立即更新他們的設備。它利用了蘋果iMessage中的一個漏洞,該漏洞被利用來將以色列公司NSO Group開發的「飛馬」(Pegasus)間諜軟件推送到蘋果手機上。
「飛馬」間諜軟件允許其客户幾乎不受任何阻礙地訪問目標的設備,包括他們的個人數據、照片、消息和位置訊息。
相關圖輯:iOS 14.7更新|iPhone用家9個必升理由!修正死機WiFi、音樂bugs▼▼▼
這次發現的漏洞非常嚴重,因為它利用了當時最新的iPhone軟件,包括蘋果在5月份發布的iOS 14.4和後來的iOS 14.6。同時,該漏洞也突破了蘋果在iOS 14中發布的新防禦系統BlastDoor,這些防禦系統本應通過過濾潛在的惡意代碼來防止靜默攻擊。公民實驗室稱這種特殊的漏洞為ForcedEntry,因為它有能力繞過蘋果的BlastDoor保護。
在最新的調查中,公民實驗室表示,他們在一名沙特活動人士的iPhone上發現了ForcedEntry漏洞被利用的證據,當時該手機運行的是最新版本的iOS。研究人員表示,這一漏洞利用了蘋果設備在顯示器上渲染圖像的弱點。到目前為止,同樣的ForcedEntry漏洞可以在所有運行最新軟件的蘋果設備上運行。
公民實驗室聲稱,他們已經於9月7日向蘋果報告了最新發現。蘋果隨後推出了該漏洞的補丁,官方名稱為CVE-2021-30860。公民實驗室表示,通過之前沒有公布的證據,他們堅信NSO Group利用了ForcedEntry漏洞。
相關圖輯:iOS 15|11個實用+7大未來必玩功能!Android、PC都用到FaceTime▼▼▼
該研究人員約翰·斯科特-雷頓(John Scott-Railton)說,像iMessage這樣的即時通訊應用越來越多地成為國家駭客行動的目標,最新發現突顯了保護這些應用程序面臨的挑戰。
在一份簡短的聲明中,蘋果安全工程和架構主管伊凡·克爾斯蒂克(Ivan Krstić)證實該公司已經發布安全補丁。他說:「在發現iMessage的漏洞後,蘋果迅速在iOS 14.8中開發並部署了修復程序,以保護我們的用户。我們想讚揚公民實驗室成功地完成了非常困難的工作,獲得了這個漏洞的樣本,以便我們能夠快速開發修復程序。」
克爾斯蒂克補充稱:「像這樣的攻擊非常複雜,開發成本高達數百萬美元,通常有效期很短,而且只能被用來攻擊特定的個人。雖然這意味着它們不會對我們絕大多數用户構成威脅,但我們仍在不知疲倦地保護我們所有的客户,我們還在不斷地為他們的設備和數據增加新的保護措施。」
相關圖輯:iPhone 13鐵定9月15日發布,即睇10大傳聞▼▼▼
【本文獲「中關村在線」授權轉載。】