蘋果發布iOS 14.8更新 修補可植入間諜軟體監控通訊的漏洞

在發表iPhone 13前夕,蘋果周一釋出更新版iOS、macOS等作業系統軟體以修補2個安全漏洞,其中一個已被極權國家用來監視人權運動者、記者及異議人士的通訊內容。

在發表iPhone 13前夕,蘋果周一釋出更新版iOS、macOS等作業系統軟體以修補2個安全漏洞,其中一個已被極權國家用來監視人權運動者、記者及異議人士的通訊內容。

這批更新包括iOS 14.8、iPadOS 14.8、watchOS 7.6.2及macOS Big Sur 11.6。之前版本的macOS 包括Catalina (10.15) 和Mojave (10.14) 則獲得WebKit-based Safari 更新版(14.1.2),Catalina則另外獲得補充修補程式

兩個漏洞之一是CVE-2021-30860,存在蘋果CoreGraphics框架中。它是由多倫多大學的公民實驗室(Citizen Lab)揭露的整數溢位漏洞,可讓攻擊者利用惡意PDF檔案引發任意程式碼執行,進而執行間諜程式和其他惡意軟體。

蘋果安全公告指出,該公司接獲通報已發生積極開採該漏洞的情形。

加拿大公民實驗室則說得更明白。8月24日,該實驗室研究人員發現9名巴林人權運動人士遭駭客利用以色列公司NSO Group的間諜軟體Pegasus及另2個零點擊iMessage開採程式駭入,時間從2020年6月到2021年2月。

這兩個iMessage攻擊工具一是去年發現的KISMET,影響iOS 14以前的版本。另一個,公民實驗室稱為FORCEDENTRY,國際特赦組織稱為Megalodon,前者指涉它繞過iOS 14中實作用以保護iMessage流量的Blast Door技術。這個攻擊工具可能從今年2月就被用來駭入iMessage。

FORCEDENTRY工具成功駭入iPhone後,就能用來植入NSO間諜軟體Pegasus。

周一公民實驗室貼文指出,他們發現NSO Group還有另一個蘋果零時差漏洞,顯示這類公司正為政府監控情報單位提供「專制即服務」,是一個日益暴利卻有害的商業模式,有必要管制。

蘋果修補的另一個漏洞為CVE-2021-30858,通報者不詳。它是一個使用已釋放記憶體(use-after-free)漏洞,允許Safari的WebKit展圖引擎處理惡意網頁內容,進而執行任意程式碼。

蘋果指出,第2項漏洞也已經被積極鎖定開採,不過並未提供細節。

Google也修補安全漏洞

Google今天也針對Windows、Mac及Linux釋出Chrome 93.0.4577.82版本,解決十多項漏洞,包括2個已經有開採活動的CVE-2021-30632 及CVE-2021-30633漏洞。CVE-2021-30632 為存在V8 JavaScript引擎的越界寫入(out-of-bounds write)漏洞,可能引發程式碼執行,CVE-2021-30633則是Indexed DB API中的使用已釋放記憶體漏洞,可能造成資訊洩露,兩者都屬高風險漏洞。

來源:The Register

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416