快升級！蘋果爆重大安全漏洞，急更新iOS 16.6.1修補Pegasus零日漏洞

發表於 2023-09-08 20:01 作者： 區塊鏈情報速遞pro

蘋果今早突然發佈 iOS 16.6.1 更新，並提醒用戶盡快升級，以修補 Pegasus 漏洞，該漏洞允許用戶在沒有點擊惡意檔案或連結下，讓駭客在不知情狀態下安裝 Pegasus 間諜軟體。 （前情提要：WinRAR爆史上最嚴重漏洞：點開壓縮檔、電腦變駭客的） （背景補充：區塊鏈漏洞》難以防範的「只讀重入攻擊」是什麼？）

蘋果（Apple）今早（8日）緊急發佈 iOS 16.6.1 更新，此次並沒有加入任何新功能，主要是修補稍早爆發的重大安全漏洞，官方提醒用戶盡快升級 iOS 16.6.1。

蘋果緊急更修補 Pegasus 漏洞

對此，區塊鏈安全公司慢霧科技安全長23pds 也發文提醒，Pegasus（飛馬工具）正在使用零日漏洞（Zero-day），所有加密業者都應該盡快更新其蘋果產品：

攻擊者使用 iMessage 帳戶發送給受害者惡意圖像的 PassKit 附加檔案來觸發攻擊。目前利用鏈已經公開，受害者在「無需點擊交互」的情況下。最新的 iOS 系統即可被感染！

據了解，公民實驗室（Citizen Lab）此前發現一個正被積極利用的零日漏洞「BLASTPASS」，並即時回報給蘋果修補，而蘋果也在迅速反應下推出 iOS 16.6.1 將該漏洞修復，不過 BLASTPASS 攻擊威力極為強大仍容忽視。

飛馬入侵設備「無點擊」就入侵

事實上，去年以色列駭客公司 NSO Group 旗下 Pegasus 間諜軟體就遭到 Apple 提告，更被 Google 資安團隊 Project Zero 譽為史上最複雜的漏洞之一。

間諜軟體能透過 Apple ID 發動「無點擊」攻擊，並且將惡意資料發送到受害者裝置，就算沒有點擊惡意檔案或連結，同樣都能夠讓對方在不知情狀態下安裝 Pegasus 間諜軟體。

而本次採取同樣手法，駭客只需透過 iOS 16.6 或較舊版本的 iMessage 向受害者傳送惡意圖像，即使受害者未打開或下載該圖像，也能使受害設備在毫無察覺的情況下安裝 NSO Group 的 Pegasus 間諜軟體。

動區提醒讀者若為 iPhone 用戶請儘快升級到 iOS 16.6.1，以避免設備受到攻擊或監控。

標題：快升級！蘋果爆重大安全漏洞，急更新iOS 16.6.1修補Pegasus零日漏洞

地址：https://www.coinsdeep.com/article/42239.html

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。