蘋果釋出iOS 4.3.4修補PDF及越獄程式所用漏洞

蘋果（Apple）於週五(7/15)釋出iOS 4.3.4更新，此次更新沒有添增任何新功能，僅修補PDF漏洞，該漏洞導致用戶開啟惡意PDF檔案時可以執行檔案中夾帶的程式碼──而這也是iOS 4.3.3越獄程式所利用的漏洞。

根據蘋果公布的升級資料顯示，該漏洞主要跟系統處理TrueType字型的功能有關。德國聯邦資訊安全局(Federal Office for Information Security)本月初曾指出，多種設備與版本所使用的iOS存有PDF漏洞，當這些設備透過Safari連結到惡意PDF檔案時，就可能遭受感染，導致使用者的資料外洩，或是讓駭客存取裝置上的攝影機、使用者位置，以及竊聽使用者的通話等。

不過這個消息對越獄用戶可不是好消息，駭客Comex製作的iOS 4.3.3線上越獄程式也是使用該漏洞進行破解，幾乎所有用戶都是使用該程式越獄，所以升級至4.3.4之後預估該越獄將失效。目前已經有兩個越獄團隊redsn0w及PwnageTool提供iOS 4.3.4透過降級4.3.3越獄的方法，但iPad 2無法降級系統，所以升級之後無法越獄。

Comdex去年就曾經利用類似的漏洞，製做出一個可以線上越獄的網站，一夜之間讓上百萬台iOS設備成功越獄。當蘋果修補該漏洞之後，他立即公布越獄程式的程式碼，導致未升級修補的設備陷於資安危機之中。

至於蘋果在六月宣稱有200多種新功能的iOS 5，上週開發人員已經可以取得第三個測試版本，蘋果預計在秋季釋出正式版，一般推測新一代iPhone將同步上市。（編譯/沈經）