苹果公司今日公布了iOS 15.2.1和iPadOS 15.2.1,此次调整特性的升级包含对上年初次发现的一个已经知道HomeKit漏洞的关键安全性修补。依据苹果公司对该升级的安全性适用文档,它解决了一个很有可能导致故意制做的HomeKit名字发生拒绝服务漏洞,比较严重的时候会导致iPhone和iPad没法工作中。
iPhone表明,这也是由一个資源耗光的问题导致的,如今早已根据改善键入认证的方法来处理。
在Trevor Spiniolas发现HomeKit漏洞后,Bleeping Computer在1月份初次注重了这一漏洞。该漏洞被称作"防盗锁",基本原理是利用将HomeKit设备的名字改成超出50万只标识符来令其拒绝服务。
尝试载入如此大的字符串数组会导致iOS机器设备被送进拒绝服务情况,强制性重设机器设备是修复的唯一方式。重设机器设备会导致内容丢失,除非是有能用的备份数据,而再次登陆与毁坏的HomeKit设备名字密切相关的受影响的iCloud帐户还会继续再次开启该漏洞。
iPhone在iOS 15.1中根据限定能为HomeKit设备或应用设置的名字长短,一部分修补了该漏洞,但它并没彻底修补该问题,由于运用该漏洞的虚假者可以应用Home邀请信而不是机器设备来再度开启进攻。
由于这一漏洞在最坏的情形下很有可能导致内容丢失,在最合适的情形下很有可能导致机器设备重设,因此非常值得马上升级到iOS和iPadOS 15.2.1更新。
