蘋果公司今天發布了iOS 15.2.1和iPadOS
15.2.1,本次修正性質的更新包括對去年首次發現的一個已知HomeKit漏洞的重要安全修復。根據蘋果公司對該更新的安全支持文件,它解決了一個可能導致惡意製作的HomeKit名稱出現拒絕服務漏洞,嚴重時會導致iPhone和iPad無法工作。
蘋果表示,這是由一個資源耗盡的問題引起的,現在已經通過改進輸入驗證的方式來解決。
在Trevor Spiniolas發現HomeKit漏洞后,Bleeping Computer在1月份首次強調了這個漏洞。該漏洞被稱為”門鎖”,原理是通過將HomeKit設備的名稱改為超過50萬個字符來令其拒絕服務。
試圖加載如此大的字符串會導致iOS設備被送入拒絕服務狀態,強制重置設備是恢復的唯一途徑。重置設備會導致數據丟失,除非有可用的備份,而重新登錄與損壞的HomeKit設備名稱相關聯的受影響的iCloud賬戶還會重新觸發該漏洞。
蘋果在iOS 15.1中通過限制可為HomeKit設備或應用設置的名稱長度,部分修復了該漏洞,但它並沒有完全修復該問題,因為利用該漏洞的惡意者可以使用Home邀請函而不是設備來再次觸發攻擊。
因為這個漏洞在最壞的情況下可能導致數據丟失,在最好的情況下可能導致設備重置,所以值得立即更新到iOS和iPadOS 15.2.1更新。
