苹果释出 iOS 4.3.4 修补 PDF 及越狱程式所用漏洞

ISO 4 3 4 released

苹果释出 iOS 4.3.4 更新修补 PDF 漏洞,不过这个消息对越狱用户可不是好消息,骇客 Comex 制作的 iOS 4.3.3 线上越狱程式也是使用该漏洞进行破解。

苹果(Apple)于周五(7/15)释出 iOS 4.3.4 更新,此次更新没有添增任何新功能,仅修补 PDF 漏洞,该漏洞导致用户开启恶意PDF档桉时可以执行档桉中夹带的程式码 ── 而这也是 iOS 4.3.3 越狱程式所利用的漏洞。

根据苹果公布的升级资料显示,该漏洞主要跟系统处理 TrueType 字型的功能有关。德国联邦资讯安全局 (Federal Office for Information Security) 本月初曾指出,多种设备与版本所使用的 iOS 存有 PDF 漏洞,当这些设备透过 Safari 连结到恶意 PDF 档桉时,就可能遭受感染,导致使用者的资料外洩,或是让骇客存取装置上的摄影机、使用者位置,以及窃听使用者的通话等。

不过这个消息对越狱用户可不是好消息,骇客 Comex 制作的 iOS 4.3.3 线上越狱程式也是使用该漏洞进行破解,几乎所有用户都是使用该程式越狱,所以升级至 4.3.4 之后预估该越狱将失效。目前已经有两个越狱团队 redsn0w 及 PwnageTool 提供 iOS 4.3.4 透过降级 4.3.3 越狱的方法,但 iPad 2 无法降级系统,所以升级之后无法越狱。

Comdex 去年就曾经利用类似的漏洞,制做出一个可以线上越狱的网站,一夜之间让上百万台 iOS 设备成功越狱。当苹果修补该漏洞之后,他立即公布越狱程式的程式码,导致未升级修补的设备陷于资安危机之中。

至于苹果在六月宣称有 200 多种新功能的 iOS 5,上週开发人员已经可以取得第三个测试版本,苹果预计在秋季释出正式版,一般推测新一代 iPhone 将同步上市。

限时免费:限时免费