苹果曝超危安全漏洞 紧急发布更新

日期: 2021-09-14
新闻主题:

来源: 加西网

(加西网综合)据Global News消息,苹果发布了一个安全补丁针对具有严重威胁的安全漏洞,研究人员称,该漏洞允许黑客直接入侵苹果所有产品,包括iPhone、iPad、Mac和Apple Watch。



加拿大多伦多大学下属“公民实验室”(Citizen Lab)的研究人员首先发现了这个安全漏洞,他们表示,世界上臭名昭著的黑客雇佣公司以色列NSO Group利用苹果手机iMessage上的一个安全漏洞,将“飞马”(Pegasus)间谍软件推送到苹果手机上,而且不需要手机用户点击链接。

如果苹果手机感染NSO Group“飞马”(Pegasus)间谍软件,攻击者就能窃取信息和邮件,甚至可以控制手机麦克风摄像头。有些政府部门会使用NSO Group软件,黑客可以用苹果不知道的方法窃取数据,即使iPhone软件保持在最新状态,也无法阻止使用昂贵机密间谍软件的攻击者。允许其客户几乎不受任何阻碍地访问目标的设备,包括他们的个人数据、照片、消息和位置信息。

对此,以色列NSO Group 仅以一句话回应,称将继续致力于提供打击“恐怖主义和犯罪”的工具。

研究人员说,9月7日首次发现“零日漏洞”(zero-click)恶意代码,并立即通知了苹果公司。苹果随后推出了针对这个漏洞的补丁,官方名称为CVE-2021-30860。公民实验室表示,通过之前没有公布的证据,他们坚信NSO Group利用了ForcedEntry漏洞。
 
在最新的调查中,公民实验室表示,是在一名沙特活动人士的iPhone上发现了ForcedEntry漏洞被利用的证据,当时该手机运行的是最新版本的iOS。研究人员表示,这一漏洞利用了苹果设备在显示器上渲染图像的弱点。到目前为止,同样的ForcedEntry漏洞可以在所有运行最新软件的苹果设备上运行。

这次发现的安全漏洞非常严重,因为它利用了当时最新的iPhone软件,包括苹果在5月份发布的iOS 14.4和后来的iOS 14.6。同时,该漏洞也突破了苹果在iOS 14中发布的新防御系统BlastDoor,这些防御系统本应通过过滤潜在的恶意代码来防止静默攻击。公民实验室称这种特殊的漏洞为ForcedEntry,因为它有能力绕过苹果的BlastDoor保护。



尽管安全专家表示,通常iPhone、iPad 和 Mac的普通用户无需担心,因为此类攻击往往仅限于特定目标,但这一发现仍令安全专家感到震惊。

苹果在一篇博文中表示,正在为 iPhone 和 iPad 发布安全更新,因为“恶意制作”的PDF文件可能会导致苹果设备被黑客入侵。

在随后的声明中,苹果安全主管 Ivan Krstic 赞扬了公民实验室,并表示此类漏洞“不会对我们绝大多数用户构成威胁”。他指出,正如之前的一样,此类漏洞开发成本高达数百万美元,而且有效期很短。苹果没有回答是否为首次修补“零点漏洞”的问题。
 
安全专家称,要想阻止恶意软件,最有效的办法是更新到最新软件,但是设备制造商先要知道漏洞的存在。苹果表示,iPhone和iPad运行的iOS 14.8,以及Apple Watch和MacOS的更新系统,将修复至少一个零日漏洞(zero-click),并承认该漏洞“可能已被积极利用”。用户应该在 iPhone 上收到提醒,提示更新手机的 iOS 软件。
 


零日漏洞”(zero-day)又称时差攻击,指被发现后立即被恶意利用的安全漏洞。 通俗地讲,即安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现。 这种攻击往往具有很大的突发性与破坏性。

REF:https://globalnews.ca/news/8187966/apple-security-update-...





本文章来自于 加西网 (温哥华门户网)
http://www.westca.com

这份报导的网址是:
http://www.westca.com/News/article/sid=854324/lang=schinese.html