iPhone用家注意！iOS 14.8發布會前緊急推出　修復嚴重安全漏洞

蘋果發布了針對一個具有嚴重威脅的「零日漏洞」的安全補丁，該漏洞影響到蘋果所有產品，包括iPhone、iPad、Mac和Apple Watch。

蘋果表示，iPhone和iPad運行的iOS 14.8，以及Apple Watch和MacOS的更新系統，將修復至少一個零日漏洞，並承認該漏洞「可能已被積極利用」。

這個漏洞是加拿大多倫多大學下屬「公民實驗室」（Citizen Lab）首先發現的，並敦促其用户立即更新他們的設備。它利用了蘋果iMessage中的一個漏洞，該漏洞被利用來將以色列公司NSO Group開發的「飛馬」（Pegasus）間諜軟件推送到蘋果手機上。

「飛馬」間諜軟件允許其客户幾乎不受任何阻礙地訪問目標的設備，包括他們的個人數據、照片、消息和位置訊息。

相關圖輯：iOS 14.7更新｜iPhone用家9個必升理由！修正死機WiFi、音樂bugs▼▼▼

這次發現的漏洞非常嚴重，因為它利用了當時最新的iPhone軟件，包括蘋果在5月份發布的iOS 14.4和後來的iOS 14.6。同時，該漏洞也突破了蘋果在iOS 14中發布的新防禦系統BlastDoor，這些防禦系統本應通過過濾潛在的惡意代碼來防止靜默攻擊。公民實驗室稱這種特殊的漏洞為ForcedEntry，因為它有能力繞過蘋果的BlastDoor保護。

在最新的調查中，公民實驗室表示，他們在一名沙特活動人士的iPhone上發現了ForcedEntry漏洞被利用的證據，當時該手機運行的是最新版本的iOS。研究人員表示，這一漏洞利用了蘋果設備在顯示器上渲染圖像的弱點。到目前為止，同樣的ForcedEntry漏洞可以在所有運行最新軟件的蘋果設備上運行。

公民實驗室聲稱，他們已經於9月7日向蘋果報告了最新發現。蘋果隨後推出了該漏洞的補丁，官方名稱為CVE-2021-30860。公民實驗室表示，通過之前沒有公布的證據，他們堅信NSO Group利用了ForcedEntry漏洞。

相關圖輯：iOS 15｜11個實用+7大未來必玩功能！Android、PC都用到FaceTime▼▼▼

該研究人員約翰·斯科特-雷頓（John Scott-Railton）說，像iMessage這樣的即時通訊應用越來越多地成為國家駭客行動的目標，最新發現突顯了保護這些應用程序面臨的挑戰。

在一份簡短的聲明中，蘋果安全工程和架構主管伊凡·克爾斯蒂克（Ivan Krstić）證實該公司已經發布安全補丁。他說：「在發現iMessage的漏洞後，蘋果迅速在iOS 14.8中開發並部署了修復程序，以保護我們的用户。我們想讚揚公民實驗室成功地完成了非常困難的工作，獲得了這個漏洞的樣本，以便我們能夠快速開發修復程序。」

克爾斯蒂克補充稱：「像這樣的攻擊非常複雜，開發成本高達數百萬美元，通常有效期很短，而且只能被用來攻擊特定的個人。雖然這意味着它們不會對我們絕大多數用户構成威脅，但我們仍在不知疲倦地保護我們所有的客户，我們還在不斷地為他們的設備和數據增加新的保護措施。」

相關圖輯：iPhone 13鐵定9月15日發布，即睇10大傳聞▼▼▼

【本文獲「中關村在線」授權轉載。】