apple 今日发布了ios 15.2.1 和 ipados 15.2.1 ,这些小更新包括针对去年首次发现的已知homekit漏洞的重要安全修复。
根据 Apple 的更新安全支持文档,它解决了一个问题,该问题可能导致恶意制作的 HomeKit 名称导致拒绝服务,从而导致 iPhone 和 iPad 无法工作。
Apple 表示,这是由资源耗尽问题引起的,现已通过改进输入验证得到解决。
该漏洞被称为“doorLock”,通过将 HomeKit 设备的名称更改为超过 500,000 个字符的名称来执行。
尝试加载如此大的字符串会导致 iOS 设备进入拒绝服务状态,而强制重置是唯一的恢复方式。除非有可用的备份,否则重置设备会导致数据丢失,并且重新登录与损坏的“HomeKit”设备名称相关联的受影响的iCloud帐户可能会重新触发该错误。
Apple 通过限制可以为 HomeKit 设备或应用程序设置的名称长度部分修复了 iOS 15.1 中的错误,但它并没有完全解决问题,因为利用该漏洞的恶意人员可以使用 Home 邀请而不是设备触发攻击。
由于此错误最多可能导致数据丢失和设备重置,因此值得立即更新到 iOS 和 iPadOS 15.2.1 更新。
