9月14日消息,美国当地时间周一,苹果发布了针对一个具有严重威胁的“零日漏洞”的安全补丁,该漏洞影响到苹果所有产品,包括iPhone、iPad、Mac和Apple Watch。
苹果表示,iPhone和iPad运行的iOS 14.8,以及Apple Watch和MacOS的更新系统,将修复至少一个零日漏洞,并承认该漏洞“可能已被积极利用”。
这个漏洞是加拿大多伦多大学下属“公民实验室”(Citizen Lab)首先发现的,并敦促其用户立即更新他们的设备。它利用了苹果iMessage中的一个漏洞,该漏洞被利用来将以色列公司NSO Group开发的“飞马”(Pegasus)间谍软件推送到苹果手机上。
“飞马”间谍软件允许其客户几乎不受任何阻碍地访问目标的设备,包括他们的个人数据、照片、消息和位置信息。
这次发现的漏洞非常严重,因为它利用了当时最新的iPhone软件,包括苹果在5月份发布的iOS 14.4和后来的iOS 14.6。同时,该漏洞也突破了苹果在iOS 14中发布的新防御系统BlastDoor,这些防御系统本应通过过滤潜在的恶意代码来防止静默攻击。公民实验室称这种特殊的漏洞为ForcedEntry,因为它有能力绕过苹果的BlastDoor保护。
在最新的调查中,公民实验室表示,他们在一名沙特活动人士的iPhone上发现了ForcedEntry漏洞被利用的证据,当时该手机运行的是最新版本的iOS。研究人员表示,这一漏洞利用了苹果设备在显示器上渲染图像的弱点。到目前为止,同样的ForcedEntry漏洞可以在所有运行最新软件的苹果设备上运行。
公民实验室声称,他们已经于9月7日向苹果报告了最新发现。苹果随后推出了该漏洞的补丁,官方名称为CVE-2021-30860。公民实验室表示,通过之前没有公布的证据,他们坚信NSO Group利用了ForcedEntry漏洞。
该研究人员约翰*斯科特-雷顿(John Scott-Railton)说,像iMessage这样的即时通讯应用越来越多地成为国家黑客行动的目标,最新发现突显了保护这些应用程序面临的挑战。
在一份简短的声明中,苹果安全工程和架构主管伊凡*克尔斯蒂克(Ivan Krsti?)证实该公司已经发布安全补丁。他说:“在发现iMessage的漏洞后,苹果迅速在iOS 14.8中开发并部署了修复程序,以保护我们的用户。我们想赞扬公民实验室成功地完成了非常困难的工作,获得了这个漏洞的样本,以便我们能够快速开发修复程序。”
克尔斯蒂克补充称:“像这样的攻击非常复杂,开发成本高达数百万美元,通常有效期很短,而且只能被用来攻击特定的个人。虽然这意味着它们不会对我们绝大多数用户构成威胁,但我们仍在不知疲倦地保护我们所有的客户,我们还在不断地为他们的设备和数据增加新的保护措施。”
事件回顾:
免责声明:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。
市场有风险,选择需谨慎!此文仅供参考,不作买卖依据,投资者若据此操作,风险自担。
投稿邮箱:citreport#qq.com。详情访问科技快报网:https://www.citreport.com
扫一扫关注微信
