圖片來源: 

photo by Hussam Abd on unsplash

蘋果的安全性神話破滅了嗎?公民實驗室(Citizen Lab)在13日揭露了一個遭到以色列駭客公司NSO開採的零時差漏洞Forcedentry,NSO已利用它於受害者的手機上植入Pegasus間諜程式,該漏洞波及蘋果最新的iOS、iPadOS、macOS與watchOS作業系統,而蘋果也於同一天修補該漏洞,緊急更新了所有平臺。

公民實驗室說明,他們是在今年3月檢查了一名沙烏地活動家的iPhone,判斷駭客利用Forcedentry漏洞把Pegasus植入手機,並在9月7日將結果通知蘋果,蘋果很快就證實此一漏洞的存在,並賦予CVE-2021-30860的漏洞編號。

CVE-2021-30860漏洞出現在蘋果圖像渲染函式庫CoreGraphics,為一整數溢位漏洞,當它處理一個惡意的PDF檔案時,可能允許駭客執行任意程式。

蘋果在一周內就修補了漏洞,於13日同步釋出了iOS 14.8、iPadOS 14.8、watchOS 7.6.2、macOS Big Sur 11.6,也更新了舊版的macOS Catalina,以及釋出支援macOS Catalina與macOS Mojave的Safari 14.1.2。

這次的更新不僅修補CVE-2021-30860,蘋果也修補了另一個藏匿在WebKit的CVE-2021-30858漏洞,CVE-2021-30858是由另一位匿名的研究人員所提報,為一釋放後使用漏洞,在處理惡意的網頁內容時可能造成任意程式執行,值得注意的是,CVE-2021-30858也已傳出遭到開採的案例。

蘋果剛更新的作業系統都同時修補了CVE-2021-30860與CVE-2021-30858漏洞,支援macOS Catalina與macOS Mojave的Safari 14.1.2則是修補CVE-2021-30858。

蘋果的作業系統一向以安全聞名,近來卻屢屢傳出遭到NSO破解,NSO標榜可協助政府把Pegasus間諜程式安裝到恐怖組織或犯罪集團的手機上,但許多研究卻也在異議人士、活動家、政治人物或記者的手機上發現Pegasus。

不過,負責蘋果安全工程暨架構的Ivan Krstić向ZDNet表示,這類的複雜攻擊需要數百萬美元的開發成本,壽命很短,而且通常是針對性的,代表它們並不會對大多數的使用者造成威脅。

熱門新聞

Advertisement