更新包括来自苹果和NSO集团的评论。
周一(9月13日),苹果发布了iOS、ipad、macOS、watchOS和Safari的更新,以修复两个被黑客频繁利用的零日漏洞。至少有一个漏洞被商业间谍软件用来侵入波斯湾国家政治活动人士的手机。
你想要更新你的设备到iOS和ipad 14.8,macOS大苏尔11.6,watchOS土壤质素和Safari 14.1.2.MacOS 10.15,卡特琳娜得到一个安全更新没有新的版本号,而Safari更新是针对Catalina和它的前身macOS 10.14 Mojave。
我们知道这两个漏洞之一的一些细节,被分类为CVE-2021-30860,它会影响iOS、ipad、watchOS、Big Sur和Catalina上的苹果CoreGraphics组件,但不会影响Safari本身。
苹果的安全建议称,由于这个漏洞,“处理恶意制作的PDF文件可能导致任意代码执行。”换句话说,如果你查看一个有陷阱的PDF文件,你的系统可以通过互联网被黑。
这个缺陷是上个月被公民实验室发现多伦多大学的研究人员研究了九名巴林持不同政见者的iphone。研究人员称该漏洞的利用为“FORCEDENTRY”,并表示Pegasus间谍软件使用了该漏洞。Pegasus间谍软件是由以色列NSO集团开发和发行的商业间谍软件。
今天,公民实验室披露一名沙特政治活动人士的iPhone也使用了同样的漏洞。如果用户在iMessage中收到消息,该漏洞允许用户接管iPhone。无需用户采取任何行动就可以触发该漏洞,因此信息安全专家将其称为“零点击漏洞”。
另一个被编目为CVE-2021-30858的漏洞更加神秘。这是Safari渲染引擎WebKit的一个缺陷,它的发现归功于“一位匿名研究者”。
苹果声称“处理恶意制作的网页内容可能导致任意代码执行”——同样,可恶的网络东西可以黑进你的设备。
这一缺陷会影响iOS、ipad、Big Sur和Safari,但不会影响watchOS或Catalina。至于另一个漏洞,苹果表示,它“意识到一份报告称,这个问题可能被积极利用了。”
在苹果发布补丁后不久,路透社(Reuters)就发表了一篇关于苹果情报部门的报道阿拉伯联合酋长国入侵iphone国内的政治活动家和外国的外交官和政治家。目前还不清楚是否涉及今天修补的零日漏洞。
苹果推出了一年一度的秋季盛会周二(9月14日),很可能是iPhone 13将与iOS 15一起发布。
来自苹果和NSO集团的评论
周一晚些时候,苹果公司向媒体发布了以下声明,声明由公司安全工程主管Ivan Krstić发表。
“在识别出iMessage漏洞后,苹果迅速在iOS 14.8中开发并部署了修复程序,以保护我们的用户。我们想赞扬公民实验室成功地完成了非常困难的工作,获得了这个漏洞的样本,所以我们可以快速开发这个修复。
像上面描述的这些攻击非常复杂,花费数百万美元开发,通常保质期很短,并被用于针对特定的个人。虽然这意味着它们不会对我们绝大多数用户构成威胁,但我们将继续不知疲倦地努力保护所有用户,并不断为他们的设备和数据添加新的保护措施。”
NSO集团在给媒体的声明中这样说。
“NSO集团将继续为世界各地的情报和执法机构提供拯救生命的技术,以打击恐怖主义和犯罪。”
