入侵系統無需使用者互動,蘋果針對兩個零日漏洞釋出緊急安全更新

Editor發表於2023-09-11

上週,網路安全研究實驗室Citizen Lab在檢查一名華盛頓特區國際辦事處工作人員的個人裝置時,發現了一種正被積極利用的零點選漏洞,該漏洞用於傳播NSO Group的知名間諜軟體“飛馬“(Pegasus)。


安全研究員將該利用鏈稱為BLASTPASS,透過該利用鏈能夠入侵蘋果公司的最新版本iOS(16.6)的iPhone手機,並且無需受害者的任何互動。Citizen Lab立即向蘋果公司披露了其發現,並協助蘋果進行調查。隨後不久,蘋果釋出了針對包括iPhone、iPad、Mac電腦和Apple Watch在內的蘋果產品的緊急更新,並披露了兩個與該利用鏈相關的CVE(CVE-2023-41064和CVE-2023-41061)。


在蘋果官網安全性更新頁面上可以看到,CVE-2023-41064與ImageIO中的緩衝區溢位問題有關,處理惡意製作的影像可能會導致任意程式碼執行。而CVE-2023-41061則是一個可透過惡意附件利用的驗證問題。


入侵系統無需使用者互動,蘋果針對兩個零日漏洞釋出緊急安全更新


據瞭解,受影響的裝置包括:

iPhone 8及更新機型、iPad Pro(所有型號)、iPad Air第三代及更新機型、iPad第五代及更新機型、iPad mini第五代及更新機型、執行macOS Ventura的Mac電腦、Apple Watch Series 4及更新機型。


對於普通使用者來說,建議立即對裝置進行更新。對於那些對隱私有特殊需求的使用者,蘋果建議其啟用鎖定模式(蘋果的安全工程和架構團隊已經確認,鎖定模式能夠阻止這種特定的攻擊)。


Citizen Lab預計將來會發布關於該利用鏈的更詳細的資訊。



編輯:左右裡

資訊來源:Citizen Lab、Apple官網

轉載請註明出處和本文連結

相關文章