苹果在发布会前紧急发布iOS 14.8正式版

今夜就要与 iPhone 13 见面了，以为下一步就直接是 iOS 15RC 版了，没想到苹果猛一个回首掏，在今天凌晨推送了 iOS 14.8 正式版，版本号为【18H17】。

这次的更新没有任何的新功能，官方表示“提供了重要的安全性更新，建议所有用户安装”，苹果的安全支持文件概述了针对可能已经被利用的问题实施的两项主要修复措施：

第一个是 CoreGraphics 错误，可能允许恶意制作的 PDF 导致任意代码执行；另一个是 WebKit 漏洞，允许恶意制作的 Web 内容执行代码。

这第一个漏洞也是苹果工程师一直在夜以继日修复的一个关键漏洞，上周，公民实验室(The Citizen Lab)向苹果公司报告了一项针对苹果图像渲染库的新 iMessage 零点击漏洞，这个名为 FORCEDENTRY 的漏洞可以用 Pegasus 间谍软件感染 iPhone、iPad、Apple Watch 或 Mac 电脑，除了可以访问短信、电话和电子邮件外，还可以访问摄像头和麦克风。

FORCEDENTRY 是由以色列监控公司 NSO Group 发布，用于攻击世界各地的记者、律师和人权活动人士，公民实验室在分析了一位沙特活动人士的‌ iPhone‌ 后发现了它，当时，NSO 的 5 万多名客户的数据库被公开。

细节在 9 月 7 日被告知苹果公司，苹果花了一周时间修复了这个漏洞。据公民实验室称，强制进入设备这个问题至少从 2021 年 2 月就开始了。苹果将修复程序列示为 CVE-2021-30860，并将其描述为恶意制作的 PDF 文件，可能导致任意代码执行。

Pegasus 间谍软件之所以引人注目，是因为它绕过了苹果 iOS 14 发布时，为 iMessage 提供的特殊保护程序 BlastDoor，BlastDoor 是一个用于 Messages 的沙箱安全系统，旨在防止像 Pegasus 这样的漏洞，但它仍在开发中。

iOS 15 预计将在 iPhone 13 发售时正式发布，但苹果表示，如果用户不想升级 iOS 15，可以继续使用 iOS 14，也将陆续获得小的安全性更新，但如果想要享受新功能，只能升级到 iOS 15。