必升 iOS 14.4 的理由：修复 3 个 “可被主动利用”的安全漏洞

本周，苹果发布了 iOS/iPadOS 14.4 正式版，更新内容包括：“相机”可识别更小的二维码；“设置”中新增分类蓝牙设备类型的选项，以正确识别耳机便于音频通知；iPhone 12 系列机型增加相机无法验证为全新正品 Apple 相机时的通知功能等。除了带来这些新的功能之外，iOS/iPadOS 14.4 还修复了三个非常重要的漏洞。

在今天公布的一份新的支持文档中，苹果表示，iOS 14.4 修复了一个内核漏洞和两个 WebKit 漏洞，这三个漏洞 “可能已经被主动利用”。也就是说，无论是不法分子还是黑客，都可能出于某种目的利用这些安全漏洞。

受影响的设备有：iPhone 6s 及以后版本、iPad Air 2 及以后版本、iPad mini 4 及以后版本和 iPod touch（第七代）。

1.首先，iOS 14.4 修复了内核中的一个安全漏洞：

影响：恶意应用程序可能会提升权限。苹果公司知晓有报告称，这个问题可能已经被积极利用。

说明：通过改进锁定，解决了一个竞争条件。

2.iOS 14.4 还修复了 WebKit（Safari 使用的浏览器引擎）中的两个漏洞：

影响：远程攻击者可能会导致任意代码执行。苹果了解到有报告称，这个问题可能已经被主动利用。

说明：已解决了一个逻辑问题，改进了限制。

不过，该公司没有提供任何关于哪些用户可能成为受害者的信息。目前还不知道是哪些攻击者在积极利用漏洞。咨询报告称，苹果没有说明这次攻击是针对一小部分用户，还是更广泛的攻击。苹果公司对提交该漏洞的个人给予匿名处理。苹果表示，未来将提供有关这些漏洞的更多细节，但目前没有更多信息。这三个漏洞都是由匿名安全研究人员报告的。

为了避免受到这三个漏洞的攻击，苹果强烈建议所有用户升级 iOS/iPadOS 14.4 正式版本。

升级方法：

为避免意外情况带来的数据丢失问题，建议在升级之前，务必备份好重要数据。

方法一：打开 “设置”应用，选择 “通用”，然后选择 “软件更新”即可。

方法二：打开爱思助手 PC 端，将 iOS 设备连接至电脑。在爱思助手 “一键刷机” 页面，选择 iOS 14.4，勾选 “保留用户资料刷机” 选项，点击 “立即刷机” 并耐心等待刷机完成即可（点此查看详细教程）。