苹果公司在周四发布了紧急安全更新,适用于iPhone、iPad、Mac、Apple Watch和Safari用户,以修复三个苹果称正在被黑客利用的漏洞。
这三个漏洞包括WebKit中的一个缺陷,它是驱动Safari的浏览器引擎;一个证书验证漏洞,可以允许恶意应用程序在受影响的设备上运行;以及第三个可以用于获得更广泛内核访问权限的漏洞,内核是操作系统的核心部分。这三个漏洞组成了一个利用链,其中漏洞一起被使用来获取对目标设备的访问权限。
这些漏洞修复程序发布之际,仅仅是在iOS 17发布几天后,iOS 17包含了一系列旨在减少来自网络攻击(如间谍软件)风险的新安全和隐私功能。
苹果公司表示,他们仅知道正在积极利用这些漏洞的用户正在运行iOS 16.7及更早版本。苹果将漏洞修复程序迁移到了iOS 16.7,以及较旧版本的macOS Ventura和Monterey以及watchOS。
这些漏洞是由谷歌威胁分析组的研究员Maddie Stone和Citizen Lab的Bill Marczak发现的。在周五发布的博客文章中,谷歌和Citizen Lab都确认,苹果最新的更新是为了阻止一种用于在埃及总统候选人手机上植入Predator间谍软件的利用。
Predator是由Cytrox(Intellexa的子公司)开发的间谍软件,可以在植入时窃取个人手机的内容,通常通过欺骗性的短信指向恶意网站。Cytrox和Intellexa在今年早些时候被美国政府列入了拒绝名单,从而有效地禁止了美国公司与它们做生意。
这是苹果本月发布的第二个备受关注的安全更新。今年9月初,Citizen Lab报告称,在一部完全更新的iPhone上发现了一种零点击漏洞,用于植入由NSO Group开发的Pegasus间谍软件。这次攻击的目标是一名为一家未透露的华盛顿机构工作的个人。
Citizen Lab将此漏洞命名为BLASTPASS,因为它涉及到PassKit,这是一种允许开发人员将Apple Pay集成到其应用程序中的框架。Bill Marczak解释说,这个漏洞是由于未能成功入侵这位美国受害者设备而产生的。
“因为这次尝试失败,所以零点击漏洞的遗留部分保留在了手机上,” Marczak解释说。”在这种情况下,漏洞的根本原因是Google的WebP图像库中的一个漏洞,它被集成到iPhone中。攻击者找到了某种方法来利用它,在Apple的iMessage沙箱中运行任意代码,以在系统上安装间谍软件。”
立即更新您的设备,以保护免受这些漏洞的威胁。