iOS 14.8修复了＂飞马＂间谍软件相关漏洞

美国本地时光周一，苹果宣布了针对一个具有严重威逼的“零日马脚”的安然补丁，该马脚影响到苹果所有产品，包含iPhone、iPad、Mac和Apple Watch。

苹果表示，iPhone和iPad运行的iOS14.8，以及Apple Watch和MacOS的更新体系，将修复至少一个零日马脚，并承认该马脚“可能已被积极应用”。

这个马脚是加拿大年夜多伦多大年夜学部属“公平易近实验室”（Citizen Lab）起首发明的，并催促其用户急速更新他们的设备。它应用了苹果iMessage中的一个马脚，该马脚被应用来将以色列公司NSO Group开辟的“飞马”（Pegasus）间谍软件推送到苹果手机上。

“飞马”间谍软件许可其客户几乎不受任何阻碍地拜访目标的设备，包含他们的小我数据、照片、消息和地位信息。

此次发明的马脚异常严重，因为它应用了当时最新的iPhone软件，包含苹果在5月份宣布的iOS 14.4和后来的iOS 14.6。同时，该马脚也冲破了苹果在iOS 14中宣布的新防御体系BlastDoor，这些防御体系本应经由过程过滤潜在的恶意代码来防止静默进击。公平易近实验室称这种特别的马脚为ForcedEntry，因为它有才能绕过苹果的BlastDoor保护。

在最新的查询拜访中，公平易近实验室表示，他们在一名沙特活动人士的iPhone上发清楚明了ForcedEntry马脚被应用的证据，当时该手机运行的是最新版本的iOS。研究人员表示，这一马脚应用了苹果设备在显示器上衬着图像的弱点。到今朝为止，同样的ForcedEntry马脚可以在所有运行最新软件的苹果设备上运行。

公平易近实验室声称，他们已经于9月7日向苹果申报了最新发明。苹果随后推出了该马脚的补丁，官方名称为CVE-2021-30860。公平易近实验室表示，经由过程之前没有颁布的证据，他们坚信NSO Group应用了ForcedEntry马脚。

该研究人员约翰·斯科特-雷顿（John Scott-Railton）说，像iMessage如许的即时通信应用越来越多地成为国度黑客行动的目标，最新发明突显了保护这些应用法度榜样面对的挑衅。

在一份简短的声明中，苹果安然工程和架构主管伊凡·克尔斯蒂克（Ivan Krstić）证实该公司已经宣布安然补丁。他说：“在发明iMessage的马脚后，苹果敏捷在iOS 14.8中开辟并安排了修复法度榜样，以保护我们的用户。我们想赞赏公平易近实验室成功地完成了异常艰苦的工作，获得了这个马脚的样本，以便我们可以或许快速开辟修复法度榜样。”

克尔斯蒂克弥补称：“像如许的进击异常复杂，开辟成本高达数百万美元，平日有效期很短，并且只能被用来进击特定的小我。固然这意味着它们不会对我们绝大年夜多半用户构成威逼，但我们仍在不知疲惫地保护我们所有的客户，我们还在赓续地为他们的设备和数据增长新的保护办法。”