苹果推出紧急更新以修复iPhone及iPad和Mac上的Pegasus间谍软件漏洞

Apple已经发布了iOS 14.8、iPadOS 14.8、macOS 11.6 和 watchOS 7.6.2 的紧急更新，以修复 iPhone、iPad、Mac 和 Apple Watch 上的 Pegasus 漏洞。周一，公民实验室(多伦多大学的一个网络研究单位)披露了该漏洞，并允许黑客使用 NSO 的 Pegasus 恶意软件访问属于沙特激进分子的设备。

不仅仅是 Pro 变体，整个 Apple iPhone 14 系列都将获得 120Hz LTPO OLED 面板

这是通过使用 Apple 的 Messages 应用程序中的安全漏洞完成的。苹果表示，这个漏洞可以通过“恶意制作”的 PDF 文件来利用。该缺陷是一个零日漏洞，即苹果公司不知道它，或者他们当时根本没有为其开发补丁。

此外，该漏洞利用是零点击漏洞利用，这意味着受害者无需单击恶意文件即可感染他们的设备。相反，它使用安全漏洞自行执行。

苹果安全工程和架构负责人 Ivan Krstić 在一份声明中表示：“在识别出 iMessage 漏洞利用的漏洞后，苹果迅速在 iOS 14.8 中开发并部署了一个修复程序，以保护我们的用户。” “我们要赞扬 Citizen Lab 成功完成了获取此漏洞样本的艰巨工作，因此我们可以快速开发此修复程序。”

苹果还在9 月 13 日发布的支持文件中概述了该漏洞及其修复方法：

网页套件

适用于：iPhone 6s 及更新机型、iPad Pro(所有机型)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch(第 7 代)

影响：处理恶意制作的 PDF 可能会导致任意代码执行。Apple 获悉一份报告称，该问题可能已被积极利用。

描述：已通过改进输入验证解决整数溢出问题。

CVE-2021-30860：公民实验室

Apple iOS 14.8 紧急更新的修复适用于 CoreGraphics 和 WebKit：

网页套件

适用于：iPhone 6s 及更新机型、iPad Pro(所有机型)、iPad Air 2 及更新机型、iPad 第 5 代及更新机型、iPad mini 4 及更新机型以及 iPod touch(第 7 代)

影响：处理恶意制作的 Web 内容可能会导致任意代码执行。Apple 获悉一份报告称，该问题可能已被积极利用。

描述：已通过改进内存管理解决释放后使用问题。

CVE-2021-30858：匿名研究员

紧急 iOS 14.8 更新发布是在期待已久的 Apple 发布活动前一天发布的，该活动将宣布全新的iPhone 13 系列、Apple Watch 7和AirPods 3 等产品。我们可能还会听到更多关于iOS 15 的消息，其中可能包含进一步的安全改进。