蘋果針對FaceTime內的4個iOS漏洞提出更新

蘋果釋出iOS 12.1.4，以修補包括FaceTime在內的4個安全漏洞，不過，網絡大廠 Project Zero團隊負責人Ben Hwakes在Twitter上警告，其中的CVE-2019-7286及CVE-2019-7287兩個安全漏洞已遭到***開採。1月底在網絡上瘋傳的FaceTime漏洞，會在對方未接聽FaceTime時就出現對方的聲音及影像，根據蘋果的說明，此一編號爲CVE-2019-6223的漏洞，肇因於處理FaceTime羣組通話時的邏輯有問題，已藉由改善狀態管理解決。

至於被Hwakes點名的CVE-2019-7286漏洞則是藏匿在Foundation框架中，它是個內存毀損漏洞，允許應用程序取得擴張的權限。另一個CVE-2019-7287漏洞存在於IOKit上，它同樣是個內存毀損漏洞，允許應用程序以核心權限執行任意程序代碼。Hwakes只說坊間已出現針對這兩個漏洞的***行動，但不管是蘋果或Hwakes都未揭露這兩個漏洞的細節或***手法。至於蘋果所修補的第四個漏洞爲CVE-2019-7288，牽涉到FaceTime中的Live Photos功能，這是由蘋果針對FaceTime服務進行全面性稽覈時所發現的漏洞，且蘋果並未說明該漏洞遭到開採的後果，只說是藉由改善FaceTime服務器的驗證能力來修補漏洞。iOS 12.1.4支持iPhone 5s及之後的iPhone機種，iPad Air及之後的iPad機種，以及第六代的iPod touch。