Apple 於發表會前夕再度釋出 iOS 14.8 和 iPadOS 14.8 更新,主要是修補 iMessage 「零點擊」和間諜軟體 Pegasus 漏洞更新,也在更新中強烈建議用戶進行更新,至於 iOS 14.8 災情(耗電、發燙)和 iOS 14.7.1 造成「沒有服務」是否還會發生?這篇一次告訴大家。
Apple 推出的 iPadOS 14.8 和 iOS 14.8 內部版本號皆為 18H17 ,比較值得注意是 iOS 14.8 並沒有推出測試版本,同等於這次更新並不會加入任何新功能,僅提供安全漏洞修正,要求用戶一定要進行更新。
以色列駭客公司 NSO Group 利用間諜軟體 Pegasus 用來監控各地記者、政府官員、政界、活動人士等人,全球潛在被監控的設備已經超過 5 萬台,包含亞塞拜然、巴林、匈牙利、印度、哈薩克、摩洛哥等 34 個國家 600 多名政府官員和政界人士,其中 1.5 萬台手機在墨西哥遭監控,實際還有多少人遭監控目前還不明。
最後 Pegasus 遭網路安全監督組織 The Citizen Lab 揭露,顯示 NSO Group 開發出一款能允許駭客使用 Pegasus 間諜軟體入侵 iPhone,對此 NSO Group CEO 全盤否認,同時還發出聲明,Pegasus 只賣給國家軍方、執法與情報部門,主要用途是監控、追蹤罪犯和恐怖分子。
隨然 Apple 在釋出 iOS 14.8 更新頁面沒有詳細提到安全性修正內容,但是從另一份安全性修正報告中,可以確定主要是修正繪圖框架(CoreGraphics)和 WebKit 漏洞,據了解主要是修正 iMessage 零點攻擊和 Pegasus 間諜軟體,Apple 表示當前漏洞已經被駭客組織積極利用。
目前除了 iOS 以外,就連同 Android 也存在同樣風險,Pegasus 最初是以釣魚連結和發送大量垃圾簡訊夾帶惡意碼方式來攻擊手機,只要用戶點開就會中招。
最新 Pegasus 改良版本,則是採用零點漏洞攻擊手法,利用 JavaScriptCore Binary (jsc) 漏洞執行程式碼偽裝 iOS 系統服務,用戶不需要點擊,同樣也會觸發 iMessage 漏洞,只要提供目標的電話號碼即可讓 Pegasus 透過網路注入完成攻擊,能夠用來監控使用者通話、訊息、定位,以及可以啟用錄影和錄音功能,目前舊版 iOS 14.7.1 或更早之前版本都存在此漏洞,也針對該漏洞推出 iOS 14.8 、 iPadOS 14.8、watchOS 7.6.2、macOS Big Sur 11.6 修補。
根據 iOS 14.8 安全頁面顯示繪圖框架(CoreGraphics)漏洞是由網路安全監督組織 The Citizen Lab 所回報,主要是惡意製作 PDF 可能會造成能執行任意系統代碼,利用 iPhone 的 iMessage 能夠呈現自動圖像漏洞進行攻擊,只要受攻擊設備收到 PDF 檔,就能觸發漏洞並且入侵,目前影響設備包含 iOS、iPadOS、macOS 和 watchOS。
另外還有 Safari 核心引擎 WebKit 漏洞,會造成用戶開啟有夾帶惡意代碼網頁,造成系統觸發漏洞導致會被攻擊。
Apple 安全工程和架構負責人 Ivan Krstić 表示,這次發現 iMessage 漏洞後,Apple 已經迅速推出 iOS 14.8 修正,同時也要感謝 The Citizen Lab 提供完整漏洞樣本,這次漏洞攻擊非常複雜,開發成本達到百萬美元,主要是監控特定人士,不過還是要呼籲所有用戶進行更新。
macOS Big Sur 11.6 推出 修正安全問題
今天,繼 iOS 14.8、iPadOS 14.8、watchOS 7.6.2 更新推出後,macOS Big Sur 11.6 也宣佈推出。這次更新主要改進了 macOS 的安全。
Apple 也公佈了相關修正的安全問題,主要是 CoreGraphics 及 WebKit 上出現的漏洞。Apple 獲悉一份報告稱,該問題可能已被積極利用。
當中 CoreGraphics 在處理一些含惡意改動的 PDF,可能會導致執行任意的程式碼。
另外,WebKit 在處理一些含惡意改動的網頁內容時,可能會導致執行任意的程式碼。
這兩個漏洞影響所有 macOS Big Sur 的 Mac,因此 Apple 建議安裝 macOS Big Sur 11.6。
上一篇 《 Apple 》iOS 15 RC 下一篇 《 MI 》11T、11T Pro
以上內容來自
[ 瘋先生 ] mrmad.com.tw/ios-14-8
[ newmobilelife ]