蘋果公司今天發(fā)布了iOS 15.2.1和iPadOS 15.2.1，本次修正性質(zhì)的更新包括對去年首次發(fā)現(xiàn)的一個已知HomeKit漏洞的重要安全修復(fù)。根據(jù)蘋果公司對該更新的安全支持文件，它解決了一個可能導(dǎo)致惡意制作的HomeKit名稱出現(xiàn)拒絕服務(wù)漏洞，嚴重時會導(dǎo)致iPhone和iPad無法工作。

蘋果表示，這是由一個資源耗盡的問題引起的，現(xiàn)在已經(jīng)通過改進輸入驗證的方式來解決。

在Trevor Spiniolas發(fā)現(xiàn)HomeKit漏洞后，Bleeping Computer在1月份首次強調(diào)了這個漏洞。該漏洞被稱為”門鎖”，原理是通過將HomeKit設(shè)備的名稱改為超過50萬個字符來令其拒絕服務(wù)。

試圖加載如此大的字符串會導(dǎo)致iOS設(shè)備被送入拒絕服務(wù)狀態(tài)，強制重置設(shè)備是恢復(fù)的唯一途徑。重置設(shè)備會導(dǎo)致數(shù)據(jù)丟失，除非有可用的備份，而重新登錄與損壞的HomeKit設(shè)備名稱相關(guān)聯(lián)的受影響的iCloud賬戶還會重新觸發(fā)該漏洞。

蘋果在iOS 15.1中通過限制可為HomeKit設(shè)備或應(yīng)用設(shè)置的名稱長度，部分修復(fù)了該漏洞，但它并沒有完全修復(fù)該問題，因為利用該漏洞的惡意者可以使用Home邀請函而不是設(shè)備來再次觸發(fā)攻擊。

因為這個漏洞在最壞的情況下可能導(dǎo)致數(shù)據(jù)丟失，在最好的情況下可能導(dǎo)致設(shè)備重置，所以值得立即更新到iOS和iPadOS 15.2.1更新。