苹果本周发布iOS、iPadOS 15.2.1版以解决造成iOS设备死机、无回应doorLockbug。
根据苹果的描述,这项更新已改善输入验证解决HomeKit中一项资源耗尽问题。最新bug会导致iPhone或iPad处理经恶意操弄的HomeKit设备名称时,引发拒绝服务(DoS)。
这次更新也是回应安全研究人员Trevor Spiniolas上周公布苹果修补CVE-2022-22588不力。研究人员指控,他老早就通报苹果,但苹果拖了将近半年还没修补。
他发现,在以iPhone的Home App控制连接iCloud的HomeKit设备中,当HomeKit设备注册名称变更成极大字符串(例如50万字符)时,会引发iOS对所有输入没有反应,且iOS的backbardd控制程序被watchdog程序终止又重复加载,并落入无限循环,而且用户无法访问设备上的资料。同时,由于这变更后的HomeKit设备名称存储在iCloud中,因此iOS设备重置后只要再登录iCloud,就会重演死机情形。研究人员将之称为doorLockbug。
这项bug影响产品包括iPhone 6s、iPad Air 2、iPad 5、iPad mini 4以及之后机型,iPod touch 7,以及所有机型的iPad Pro。苹果呼吁用户尽快更新。