苹果面向所有平台发布紧急更新 修复“零点击”高危漏洞

　　面向 iOS、watchOS 和 macOS，今天苹果发布了一个紧急更新，修复了一个重大安全漏洞。有证据表明该漏洞自今年 2 月以来就被黑客利用，能够在用户没有干预的情况下在设备上安装 Pegasus 间谍软件。

　　周一，苹果为 iOS、watchOS 和 macOS 推送了紧急更新。发布安全补丁是为了应对一个大规模的漏洞，该漏洞允许操作系统在没有用户互动的情况下被感染间谍软件。

　　多伦多大学公民实验室的安全研究人员上周二向苹果公司披露了被称为”ForcedEntry”的漏洞。该小组在分析一名沙特活动家的 iPhone 时发现了这个安全漏洞（CVE-2021-30860）。

　　这个“零点击漏洞”利用了 iMessages 的一个弱点，即调用苹果的图像渲染库，可以在没有任何用户干预的情况下感染设备。研究人员发现，苹果的三个操作系统–iOS、watchOS 和 macOS–都存在这个漏洞。

　　使用的间谍软件是以色列 NSO 集团开发的有争议的 PegASUS 应用程序。公民实验室说，它认为这个漏洞自 2 月以来一直在使用，但不知道有多少设备可能被间谍软件感染。

　　公民实验室的高级研究员约翰·斯科特·雷尔顿（John Scott-Railton）告诉《纽约时报》，这个间谍软件可以做 iPhone 用户在其设备上能做的一切，甚至更多。共同研究员比尔·马尔扎克补充说，”商业间谍软件行业正在走向黑暗”。

　　NSO 集团坚持认为，它只向政府执法机构出售其间谍软件，符合地区法律和法规。然而，该软件已经出现在非犯罪人员的设备上，包括外交官、活动家和记者。此外，德国国家警察机构上周因秘密购买和使用 Pegasus 来监视恐怖分子和有组织犯罪成员而受到严厉批评。