iOS 14.8修补了"飞马"恶意程序有关系统漏洞

美国当地时间周一，苹果发布会了对于一个具备严重危害的“零日系统漏洞”的安全更新，该系统漏洞危害到iPhone全部商品，包含iPhone、iPad、Mac和Apple Watch。

iPhone表明，iPhone和iPad运作的iOS 14.8，及其Apple Watch和MacOS的系统更新，将修补最少一个零日系统漏洞，并认可该系统漏洞“很有可能已被积极主动运用”。

这一bug是加拿大多伦多大学属下“中国公民试验室”（Citizen Lab）最先看到的，并督促其客户马上升级她们的机器设备。它运用了苹果iMessage中的一个系统漏洞，该系统漏洞被运用来将非洲企业NSO Group开发设计的“飞马”（Pegasus）恶意程序消息推送到iPhone上。

“飞马”恶意程序容许其顾客几乎不受一切阻拦地浏览目的的机器设备，包含它们的个体数据信息、相片、信息和位置信息。

此次发觉的bug十分比较严重，因为它运用了当初全新的iPhone手机软件，包含iPhone在5月份公布的iOS 14.4和之后的iOS 14.6。与此同时，该缺陷也达到了iPhone在iOS 14中发表的新防护系统BlastDoor，这种防护系统本应根据过虑潜在性的恶意程序来避免默然进攻。中国公民试验室称这类特别的系统漏洞为ForcedEntry，因为它有工作能力绕开iPhone的BlastDoor维护。

在近期的调研中，中国公民试验室表明，她们在一名沙特阿拉伯主题活动人员的iPhone上看到了ForcedEntry系统漏洞被使用的直接证据，那时候该手机上运作的是最新版的iOS。科学研究工作员表明，这一漏洞检测了iPhone机器设备在显示屏上3D渲染图象的缺点。到迄今为止，一样的ForcedEntry系统漏洞能够在任何运作最新软件的iPhone机器设备上运作。

中国公民试验室宣称，她们早已于9月7日向苹果报告了最新发现。iPhone接着发布了该bug的补丁包，官方网命名为CVE-2021-30860。中国公民试验室表明，根据以前沒有发布的直接证据，她们相信NSO Group运用了ForcedEntry系统漏洞。

该科研工作人员罗伯特·斯金斯-雷顿（John Scott-Railton）说，像iMessage那样的即时通信运用愈来愈多地变成我国网络黑客行動的总体目标，最新发现显出了维护这种应用软件遭遇的挑戰。

在一份简洁明了的证明中，iPhone安全工程专业和构架负责人胡特·克尔斯诺曼（Ivan Krstić）确认该企业己经公布安全更新。他说道：“在发觉iMessage的bug后，iPhone快速在iOS 14.8中开发设计并实施了修补程序流程，以维护大家的客户。大家想称赞中国公民试验室取得成功地完成了十分艰难的工作中，得到 了这一系统漏洞的样版，便于大家可以快速开发修补程序流程。”

克尔斯诺曼填补称：“像这种的进攻比较复杂，项目成本达到数百万美元，一般有效期限很短，并且只有被用于进攻特殊的本人。尽管这代表他们不容易对人们绝大部分客户造成威胁，但咱们仍在日夜不停地维护大家全部的顾客，大家仍在不断为她们的机器设备和数据信息提升新的保障措施。”