美國 Apple 公司今天針對 iPhone 用戶推送了 iOS 16.6.1 更新,此次更新內部版本號為 20G81,距離上次發布已經過去了 45 天。Citizen Lab 今天針對此次更新發布了一篇安全說明,指出蘋果在 iOS 16.6.1 更新中成功修復了 2 處安全漏洞,這兩處漏洞曾被 NSO Group 集團利用於其 Pegasus 監控軟體中。
iOS 16.6.1 漏洞修復詳情
Citizen Lab 在部落格文中具體提到這 2 處漏洞的追蹤編號分別為 CVE-2023-41064 和 CVE-2023-41061。攻擊者曾通過這些漏洞,將惡意代碼嵌入圖片中,然後通過 PassKit 附件進行分發。
Pegasus 監控軟體簡介
Pegasus 監控軟體由 NSO Group 開發,主要針對記者、政要以及各種活動人士。它可以監控並竊取相關訊息,對用戶的隱私構成極大威脅。
Citizen Lab 指出,這次修復的漏洞利用鍊名為 BLASTPASS,在 iOS 16.6 及之前的版本中,攻擊者可以在不需要受害者交互的情況下,成功感染受害者的設備並執行惡意代碼。
采取行動
為確保個人和敏感訊息的安全,Citizen Lab 強烈建議所有 iPhone 用戶盡快升級至最新的 iOS 16.6.1 版本。同時,他們還建議有額外需求的用戶啟用 Lockdown 鎖定模式,以進一步提高安全性。
蘋果安全支援頁面提供的訊息顯示,攻擊者利用這些漏洞曾經成功製作出可以執行任意代碼的圖片,當用戶點擊這些圖片時,攻擊者可以獲得訪問權限。為了修復這個問題,蘋果采取了一系列措施,包括解決緩衝區溢出問題,從而改善了 ImageIO 進程的記憶體處理方式。
結論
蘋果的 iOS 16.6.1 更新為用戶提供了更高的安全性,成功修復了 Pegasus 監控軟體所利用的 2 處漏洞。為了確保個人信息的安全,請盡快升級您的 iOS 版本並遵循愛瘋日報的建議採取進一步的安全措施。您的隱私和數據安全是至關重要的。