Apple 今日釋出了 iOS 15.2.1 和 iPadOS 15.2.1 ,這些小更新包括針對去年首次發現的已知 HomeKit漏洞 的重要安全修復。
根據
Apple
的更新安全支持文件,它解決了一個問題,該問題可能導致惡意制作的
HomeKit
名稱導致拒絕服務,從而導致 iPhone 和 iPad 無法工作。
Apple 表示,這是由資源耗盡問題引起的,現已透過改進輸入驗證得到解決。
該漏洞被稱為「doorLock」,透過將 HomeKit 器材的名稱更改為超過 500,000 個字元的名稱來執行。
嘗試載入如此大的字串會導致 iOS 器材進入拒絕服務狀態,而強制重設是唯一的恢復方式。除非有可用的備份,否則重設器材會導致數據遺失,並且重新登入與損壞的「 HomeKit 」器材名稱相關聯的受影響的iCloud帳戶可能會重新觸發該錯誤。
Apple 透過限制可以為 HomeKit 器材或應用程式設定的名稱長度部份修復了 iOS 15.1 中的錯誤,但它並沒有完全解決問題,因為利用該漏洞的惡意人員可以使用 Home 邀請而不是器材觸發攻擊。
由於此錯誤最多可能導致數據遺失和器材重設,因此值得立即更新到 iOS 和 iPadOS 15.2.1 更新。
