吳明宜蘋果昨(26)日釋出最新版 iOS 12.4.1 以修補存在 12.4 版本中可供用戶或駭客越獄 iPhone 、 iPad 或其他蘋果產品的重大漏洞。
iOS 12.4.1 適用於 iPhone 5S 、 iPad Air 及第 6 代 iPod Touch 以後的蘋果裝置,修補掉 iOS 核心中允許攻擊者以最高權限執行惡意程式碼的漏洞。講白話文,就是可供越獄、並執行蘋果不准許的應用程式。
所謂越獄(jailbreaking)是指破解 iOS 裝置,讓使用者可去除掉蘋果設下的軟體限制。一支越獄過的 iPhone 可安裝在 App Store 找不到的第三方 app,使用者也可以自己設定 iPhone 。但這也可能為 iPhone 帶來安全風險。
iOS 12.3 以前的版本存在編號 CVE-2019-8605 的「使用後釋放」(use-after-free)漏洞可能遭駭,讓惡意程式或包含惡意程式的網頁竊取 iPhone 資料。這項漏洞首先由 Google 研究人員 Ned Williamson 發現並通報,原本 iOS 12.3 已修補,但 8 月底才釋出的 iOS 12.4 竟再次出現。
專門打造 iOS 越獄程式的廠商 Pwn20 上周發現後,一方面立即打造了個越獄程式,另一方面又提醒用戶不要升級到這個版本。同樣的漏洞也重現在 macOS 10.14.6 上。
不過蘋果火速釋出的 iOS 12.4.1 已修補了該漏洞。另外,蘋果也釋出 macOS Mojave 10.14.6 Supplemental Update 、 tvOS 12.4.1 及 watchOS 5.3.1 修補了同一款漏洞。
安全公專家也提醒,雖然越獄和刷機給了消費者更多自由,但也讓 iPhone 門戶大開,使你的個資及重要資訊曝露於惡意程式和間諜軟體的風險中。
來源:Ars Technica