苹果已修补可被Pegasus间谍软件利用的iOS零日漏洞

周四的时候，苹果推送了针对旧版 iOS / macOS 操作系统的安全更新。在其修复的三个零日漏洞中，就包括了可能被 NSO Group 的 Pegasus 间谍软件在野外利用的一个漏洞。具体说来是，iOS 12.5.5 填补了 CoreGraphics 缺陷，可知其允许攻击者通过恶意之作的 PDF 文件，在目标设备上执行任意代码。

从官方 支持文档 披露的详情来看，该漏洞或已被广泛利用。受影响的设备型号，涵盖了 iPhone 5s / 6 / 6 Plus、iPadmini 2 / mini 3、以及 iPod touch 。

最先曝光 CoreGraphics 零日漏洞的 Citizen Lab，也披露了以色列 NSO Group 有借此来部署的 Peg ASUS 恶意软件工具。

过去几个月，我们已经听闻诸多与 Pegasus 间谍软件有关的零日漏洞，据说其已被用于入侵和监视记者、活动家、甚至政府官员的 iPhone 和其它 iOS 设备。

8 月的一篇报道，更是指出 Pegasus 可实现“零点击攻击”—— 所谓的 ForcedEntry 攻击向量被用于绕过 苹果 在 Messages 消息应用中部署的 BlastDoor 安全协议。

据说这一漏洞使得巴林人权活动家的iPhone 12 Pro智能机被植入 Pegasus 间谍软件，而后苹果在 9 月初发布了针对受影响 iOS 14 软件版本的修复程序。

在 Citizen Lab 唤起了公众对于 Pegasus 被滥用的警惕之后，作为间谍软件调查的一部分，以色列政府官员已于今年 7 月访问了 NSO 的办公室。

　　版权及免责声明：凡本网所属版权作品，转载时须获得授权并注明来源“物联之家 - 物联观察新视角,国内领先科技门户”，违者本网将保留追究其相关法律责任的权力。凡转载文章，不代表本网观点和立场。

延伸阅读