苹果修复OS X 和Safari的0day漏洞，与NSO间谍软件有关

今天苹果发布了两个安全补丁，分别针对OS X和Safari。此次漏洞与臭名昭著的Pegasus监控工具包（间谍软件）相关。

尽管NSO公司已售卖Pegasus工具包多年，但最近Citizen实验室的政治网络间谍活动研究人员和移动安全运营商Lookout发布的一份报告，才将世界的目光投向他们的产品。

Citizen实验室和Lookout发现三个漏洞（CVE-2016-4655, CVE-2016-4657, CVE-2016-4658），导致Pegasus用户能够远程控制iOS设备。

上周苹果公司修复了以上漏洞，今天宣布修复另外两个0day漏洞。

苹果公司修复新的0day漏洞，漏洞被Pegasus利用

苹果公司修复了Safari 9.1.3中的CVE-2016-4654。这是一个内存损坏漏洞，如果用户被诱骗访问了利用漏洞特制的网址，Pegasus能够在OS X中运行任意代码。

对于 OS X，苹果公司修复了CVE-2016-4656。该漏洞也是内存损坏问题，能够允许OS X应用程序拥有内核特权运行任意代码。

苹果用户可更新到Safari 9.1.3、OS X Yosemite v10.10.5 和OS X El Capitan v10.11.6。

所有这些漏洞，都可被 NSO创建的超级间谍工具包利用，为客户（通常是政府部门）监视目标人物所用。

漏洞被政府监控使用

目前尚未查清NSO已经持有这些0day漏洞多少年，有多少受害者被逮捕、逼供、送进监狱甚至被杀。不过这些都要归因于NSO将监控软件售卖给政权机构，而无视隐私和人权。

Citizen实验室称已检测到政府使用Pegasus监控了墨西哥、肯尼亚和阿联酋的市民。