距離 iOS 15 推出只差一點時間,但今天,Apple 同時推出 iOS 14.8、iPadOS 14.8、macOS 11.6 及 watchOS 7.6.2 修正。而《紐約時報》 指出,安全組職 Citizen Lab 上周(9 月 7 日)通知 Apple 一個 Zero-Click iMessage 的漏洞,當中透過針對 Apple CoreGraphics 的 Image Rendering Library 作攻擊,取名 FORCEDENTRY。
而這漏洞已開始被使用作安裝 Pegasus Spyware,這能取得裝置攝影、錄音權限、甚至讀取文字訊息、電話及電郵資料。
Citizen 高級研究員 John-Scott Railton 表示,這 Spyware 差不可以做到所有 iPhone 用戶能做的事。
Apple 已在 iOS 14.8、iPadOS 14.8、watchOS 7.6.2、macOS Big Sur 11.6 修正這個漏洞,但說明文件只是指出「當中 CoreGraphics 在處理一些含惡意改動的 PDF,可能會導致執行任意的程式碼。」,其實背後的安全問題是遠比「Apple 形容」為嚴重。
Apple 向《紐約時報》 表示計劃在 iOS 15 推出 Spyware 攔截功能,未來阻擋類似 Spyware 的問題發生,提升安全性。
