Sign in

Member Benefits

Get Demands

View Business Cards

Exclusive Service

Noble Identity

AS LOW AS 1.5U /DAY

蘋果緊急更新macOS與iOS,以修補被用來植入Pegasus間諜程式的零時差漏洞

Share

流量营销

2023-09-08

公民實驗室(Citizen Lab)發現macOS與iOS已遭利用的一項零時差漏洞,得以在完全不需使用者互動的狀態下,入侵執行最新版iOS 16.6的iPhone,促使蘋果在9月7日發布安全更新進行修補

Photo by Steve Zheng on Unsplash

蘋果在周四(9/7)緊急更新了macOS、iOS、iPadOS與watchOS,以修補已遭駭客用來植入Pegasus間諜程式的兩個零時差漏洞,相關漏洞是由加拿大的公民實驗室(Citizen Lab)甫於上周發現,亦於同一天公布了攻擊場景。

根據公民實驗室的說明,他們上周檢查了華盛頓特區一個擁有許多國際據點的公民社會組織(CSO)的員工裝置時,發現了一個不需使用者點擊的漏洞,已被用來遞送由NSO Group所開發的Pegasus間諜程式,該實驗室將相關的漏洞組合稱為BLASTPASS,得以在完全不需使用者互動的狀態下,入侵執行最新版iOS 16.6的iPhone。

而駭客的攻擊手法則是透過iMessage,傳送了內含惡意圖像的PassKit附加檔案予受害者。PassKit為蘋果所設計的框架,可用來管理各種數位票券,已整合至蘋果的Wallet程式中。

在蘋果所釋出的更新版作業系統中,macOS Ventura 13.5.2修補了涉及ImageIO的CVE-2023-41064漏洞,watchOS 9.6.2修補了涉及錢包(Wallet)的CVE-2023-41061漏洞,而iOS 16.6.1與iPadOS 16.6.1則同時修補了上述兩個安全漏洞。

其中,CVE-2023-41064為一緩衝區溢位漏洞,在處理惡意圖像時可能會導致任意程式執行,CVE-2023-41061則是個驗證漏洞,可藉由傳送惡意附加檔案執行任意程式。

公民實驗室督促蘋果用戶都應立即更新裝置,同時也鼓勵那些因為身分或所從事的事務面臨更多風險的蘋果用戶啟用封閉模式(Lockdown Mode)。該模式是蘋果替極少數用戶所設計的極端保護措施,以減少裝置潛在的攻擊表面;它有許多的使用限制,例如會封鎖大多數的訊息附件、特定的網頁技術、不曾主動聯繫的FaceTime來電及共享相簿等,在該模式下亦無法連結其它裝置。




o游戏需求资源高效对接 o精准触达游戏供应商 o免费发布业务需求

欢迎加入 Huidu.io出海遊戲項目交流社區:@HUIDU_SQ

商务合作: @HDDanny @HDYoyi  @HDseven777 

会员充值: @HDFreya  @HDmax933 @HDElira

媒体合作: @HDmax933  @Huidu852

Disclaimer:
浏览使用本站时请注意核实信息的准确性或完整性,由于网站信息的非可用性造成的损害,灰度(www.huidu.io)绝不会对任何性质的损失承担责任。任何机构或者个人不得以任何方式修改或非法使用本站内容。此外,您同意不假冒任何个人或实体、不虚假声明或谎称与任何个人或实体之间的关系。灰度(www.huidu.io)可自主决定终止
Details

Please Play Responsibly:

Casino Games Disclosure: Select casinos are licensed by the Malta Gaming Authority. 18+