立即停止并将您的iPhone更新到iOS14.8

Apple已经发布了一套适用于iOS、macOS和watchOS的新更新,以修复一个漏洞,CitizenLab的安全研究人员表示,该漏洞很可能被利用以允许政府机构将软件安装到记者、律师和活动家的手机中。研究人员表示,该漏洞允许“零点击”安装Pegasus软件(意味着目标无需执行任何操作即可被感染),据报道该软件能够窃取数据、密码并激活手机的麦克风或相机。您可以在此处阅读我们对Pegusus的解释以了解更多详细信息。

APPLE的更新页面表示,它“知道有报告称此问题可能已被积极利用。”

我们在8月份听说了该漏洞,当时CitizenLab报告说它已成功用于运行iOS14.6(5月发布)的手机。公民实验室还表示,这个代号为“ForcedEntry”的漏洞似乎与国际特赦组织在7月撰写的漏洞利用行为相匹配。当时,安全研究人员写道,这是由Apple的CoreGraphics系统中的一个错误导致的,当手机在收到包含恶意文件的短信后尝试使用与GIF相关的功能时,就会发生这种情况。

然而,即使有这些信息,如果不访问受感染的文件本身,也可能很难确定到底发生了什么。根据公民实验室的说法,他们在重新分析一名激进分子被黑手机的备份时发现了文件。这些文件似乎是作为SMS附件发送的GIF,但实际上是PSD和PDF。(Apple的更新说明说这个问题是在处理恶意制作的PDF时发生的。)CitizenLab怀疑它们可能与Pegasus有关,因此它于9月7日将文件发送给Apple。苹果公司于9月13日迅速发布了修补该漏洞的软件更新,并在一份声明中感谢公民实验室“完成了获取该漏洞样本的艰巨工作”。

周一的一些更新还修复了适用于iOS和macOSBigSur的WebKit的第二个安全问题(Catalina的发行说明中未提及)。虽然目前还不清楚它是否与NSO的漏洞利用有关——它的发现归因于“匿名研究人员”而不是公民实验室,并且它位于系统的不同部分——但苹果仍然表示它“可能已被积极利用”。

如此紧迫的安全问题解释了为什么我们会在Apple活动前一天看到iOS的新更新,预计将发布可能永远不会运行此版本操作系统的新手机。尽管如此,自8月初以来一直有关于iOS14.8发布的传言,但鉴于周一的发布似乎只解决了9月份发现的安全问题,我们可能至少会再看到一个iOS14版本。

CoreGraphics的PDF渲染最近在安全性方面似乎存在问题。iOS14.7还修复了一个看似独立的系统问题,该问题也可能导致任意代码执行。WebKit最近还进行了一些更新,以修复Apple所说的“可能已被积极利用”的安全问题。当CoreGraphics漏洞的消息在8月份爆出时,苹果告诉TechCrunch,它正在努力提高iOS15的安全性。

所有这些都提醒您让所有设备保持最新状态是多么重要。虽然您希望永远不会发现自己处于使用高级软件的政府的坏处,但确保您的设备不易受到广泛报道的安全漏洞的攻击仍然是一个好主意。值得庆幸的是,Apple计划让用户无需升级到iOS15即可安装iOS14的安全更新,这对于未来的任何修复都可能有用。不过,就目前而言,请尽快更新所有设备。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

相关推荐