蘋果推出緊急更新以修復(fù)iPhone及iPad和Mac上的Pegasus間諜軟件漏洞

Apple已經(jīng)發(fā)布了iOS 14.8、iPadOS 14.8、macOS 11.6 和 watchOS 7.6.2 的緊急更新，以修復(fù) iPhone、iPad、Mac 和 Apple Watch 上的 Pegasus 漏洞。周一，公民實(shí)驗(yàn)室(多倫多大學(xué)的一個(gè)網(wǎng)絡(luò)研究單位)披露了該漏洞，并允許黑客使用 NSO 的 Pegasus 惡意軟件訪問(wèn)屬于沙特激進(jìn)分子的設(shè)備。

不僅僅是 Pro 變體，整個(gè) Apple iPhone 14 系列都將獲得 120Hz LTPO OLED 面板

這是通過(guò)使用 Apple 的 Messages 應(yīng)用程序中的安全漏洞完成的。蘋果表示，這個(gè)漏洞可以通過(guò)“惡意制作”的 PDF 文件來(lái)利用。該缺陷是一個(gè)零日漏洞，即蘋果公司不知道它，或者他們當(dāng)時(shí)根本沒(méi)有為其開發(fā)補(bǔ)丁。

此外，該漏洞利用是零點(diǎn)擊漏洞利用，這意味著受害者無(wú)需單擊惡意文件即可感染他們的設(shè)備。相反，它使用安全漏洞自行執(zhí)行。

蘋果安全工程和架構(gòu)負(fù)責(zé)人 Ivan Krsti? 在一份聲明中表示：“在識(shí)別出 iMessage 漏洞利用的漏洞后，蘋果迅速在 iOS 14.8 中開發(fā)并部署了一個(gè)修復(fù)程序，以保護(hù)我們的用戶。” “我們要贊揚(yáng) Citizen Lab 成功完成了獲取此漏洞樣本的艱巨工作，因此我們可以快速開發(fā)此修復(fù)程序。”

蘋果還在9 月 13 日發(fā)布的支持文件中概述了該漏洞及其修復(fù)方法：

網(wǎng)頁(yè)套件

適用于：iPhone 6s 及更新機(jī)型、iPad Pro(所有機(jī)型)、iPad Air 2 及更新機(jī)型、iPad 第 5 代及更新機(jī)型、iPad mini 4 及更新機(jī)型以及 iPod touch(第 7 代)

影響：處理惡意制作的 PDF 可能會(huì)導(dǎo)致任意代碼執(zhí)行。Apple 獲悉一份報(bào)告稱，該問(wèn)題可能已被積極利用。

描述：已通過(guò)改進(jìn)輸入驗(yàn)證解決整數(shù)溢出問(wèn)題。

CVE-2021-30860：公民實(shí)驗(yàn)室

Apple iOS 14.8 緊急更新的修復(fù)適用于 CoreGraphics 和 WebKit：

網(wǎng)頁(yè)套件

適用于：iPhone 6s 及更新機(jī)型、iPad Pro(所有機(jī)型)、iPad Air 2 及更新機(jī)型、iPad 第 5 代及更新機(jī)型、iPad mini 4 及更新機(jī)型以及 iPod touch(第 7 代)

影響：處理惡意制作的 Web 內(nèi)容可能會(huì)導(dǎo)致任意代碼執(zhí)行。Apple 獲悉一份報(bào)告稱，該問(wèn)題可能已被積極利用。

描述：已通過(guò)改進(jìn)內(nèi)存管理解決釋放后使用問(wèn)題。

CVE-2021-30858：匿名研究員

緊急 iOS 14.8 更新發(fā)布是在期待已久的 Apple 發(fā)布活動(dòng)前一天發(fā)布的，該活動(dòng)將宣布全新的iPhone 13 系列、Apple Watch 7和AirPods 3 等產(chǎn)品。我們可能還會(huì)聽到更多關(guān)于iOS 15 的消息，其中可能包含進(jìn)一步的安全改進(jìn)。