美国本地时光周一,苹果宣布了针对一个具有严重威逼的“零日马脚”的安然补丁,该马脚影响到苹果所有产品,包含iPhone、iPad、Mac和Apple Watch。
苹果表示,iPhone和iPad运行的iOS14.8,以及Apple Watch和MacOS的更新体系,将修复至少一个零日马脚,并承认该马脚“可能已被积极应用”。
这个马脚是加拿大年夜多伦多大年夜学部属“公平易近实验室”(Citizen Lab)起首发明的,并催促其用户急速更新他们的设备。它应用了苹果iMessage中的一个马脚,该马脚被应用来将以色列公司NSO Group开辟的“飞马”(Pegasus)间谍软件推送到苹果手机上。
“飞马”间谍软件许可其客户几乎不受任何阻碍地拜访目标的设备,包含他们的小我数据、照片、消息和地位信息。
此次发明的马脚异常严重,因为它应用了当时最新的iPhone软件,包含苹果在5月份宣布的iOS 14.4和后来的iOS 14.6。同时,该马脚也冲破了苹果在iOS 14中宣布的新防御体系BlastDoor,这些防御体系本应经由过程过滤潜在的恶意代码来防止静默进击。公平易近实验室称这种特别的马脚为ForcedEntry,因为它有才能绕过苹果的BlastDoor保护。
在最新的查询拜访中,公平易近实验室表示,他们在一名沙特活动人士的iPhone上发清楚明了ForcedEntry马脚被应用的证据,当时该手机运行的是最新版本的iOS。研究人员表示,这一马脚应用了苹果设备在显示器上衬着图像的弱点。到今朝为止,同样的ForcedEntry马脚可以在所有运行最新软件的苹果设备上运行。
公平易近实验室声称,他们已经于9月7日向苹果申报了最新发明。苹果随后推出了该马脚的补丁,官方名称为CVE-2021-30860。公平易近实验室表示,经由过程之前没有颁布的证据,他们坚信NSO Group应用了ForcedEntry马脚。
该研究人员约翰·斯科特-雷顿(John Scott-Railton)说,像iMessage如许的即时通信应用越来越多地成为国度黑客行动的目标,最新发明突显了保护这些应用法度榜样面对的挑衅。
在一份简短的声明中,苹果安然工程和架构主管伊凡·克尔斯蒂克(Ivan Krstić)证实该公司已经宣布安然补丁。他说:“在发明iMessage的马脚后,苹果敏捷在iOS 14.8中开辟并安排了修复法度榜样,以保护我们的用户。我们想赞赏公平易近实验室成功地完成了异常艰苦的工作,获得了这个马脚的样本,以便我们可以或许快速开辟修复法度榜样。”
克尔斯蒂克弥补称:“像如许的进击异常复杂,开辟成本高达数百万美元,平日有效期很短,并且只能被用来进击特定的小我。固然这意味着它们不会对我们绝大年夜多半用户构成威逼,但我们仍在不知疲惫地保护我们所有的客户,我们还在赓续地为他们的设备和数据增长新的保护办法。”