苹果紧急修补遭NSO开采的安全漏洞

苹果的安全性神话破灭了吗?公民实验室(Citizen Lab)在13日披露了一个遭到以色列黑客公司NSO开采的零时差漏洞Forcedentry,NSO已利用它于受害者的手机上植入Pegasus间谍程序,该漏洞波及苹果最新的iOS、iPadOS、macOS与watchOS操作系统,而苹果也于同一天修补该漏洞,紧急更新了所有平台。

公民实验室说明,他们是在今年3月检查了一名沙特活动家的iPhone,判断黑客利用Forcedentry漏洞把Pegasus植入手机,并在9月7日将结果通知苹果,苹果很快就证实该漏洞的存在,并赋给CVE-2021-30860的漏洞编号。

CVE-2021-30860漏洞出现在苹果图像渲染函数库CoreGraphics,为一整数溢出漏洞,当它处理一个恶意的PDF文件时,可能允许黑客执行任意程序。

苹果在一周内就修补了漏洞,于13日同步发布了iOS 14.8、iPadOS 14.8、watchOS 7.6.2、macOS Big Sur 11.6,也更新了旧版的macOS Catalina,以及发布支持macOS Catalina与macOS Mojave的Safari 14.1.2。

这次的更新不仅修补CVE-2021-30860,苹果也修补了另一个藏匿在WebKit的CVE-2021-30858漏洞,CVE-2021-30858是由另一位匿名的研究人员所提报,为一释放后使用漏洞,在处理恶意的网页内容时可能造成任意程序执行,值得注意的是,CVE-2021-30858也已传出遭到开采的案例。

苹果刚更新的操作系统都同时修补了CVE-2021-30860与CVE-2021-30858漏洞,支持macOS Catalina与macOS Mojave的Safari 14.1.2则是修补CVE-2021-30858。

苹果的操作系统一向以安全闻名,近来却屡屡传出遭到NSO破解,NSO标榜可协助政府把Pegasus间谍程序安装到恐怖组织或犯罪集团的手机上,但许多研究却也在异议人士、活动家、政治人物或记者的手机上发现Pegasus。

不过,负责苹果安全工程暨架构的Ivan Krstić向ZDNet表示,这类的复杂攻击需要数百万美元的开发成本,寿命很短,而且通常是针对性的,代表它们并不会对大多数的用户造成威胁。

发表评论