今日苹果发布了 iOS 16.6.1/iPadOS 16.6.1 正式版，Citizen Lab 发布安全博文，表示苹果这些版本更新中修复了 2 个安全漏洞，这两个漏洞被 NSO Group 集团用于 Pegasus 监控软件。

Citizen Lab 在博文中表示这 2 个漏洞的追踪编号分别为 CVE-2023-41064 和 CVE-2023-41061，攻击者利用上述漏洞制作包含恶意代码的图片，并通过 PassKit 附件分发。

Pegasus 是由 NSO Group 开发的监控恶意应用，主要针对记者、政要以及各种活动人士，可以监控窃取相关信息。Citizen Lab 表示该漏洞利用链为 BLASTPASS，在 iOS 16.6 及此前版本中，可以在不需要受害者交互的情况下，感染运行恶意代码。

Citizen Lab 建议 iPhone 用户尽快升级 iOS 16.6.1 更新，并推荐有需求的用户激活 Lockdown 模式。

受影响的设备列表包括：

iPhone 8 系列以及后续机型

iPad Pro（所有型号）、iPad Air 第3代及后续机型、iPad 第 5 代及更新机型、iPad mini 第 5 代及后续机型

运行 macOS Ventura 的 Mac

Apple Watch Series 4 及后续机型

爱思助手目前已支持一键刷机升级至 iOS 16.6.1/iPadOS 16.6.1 正式版，注重信息安全的用户可以在备份好重要数据后进行更新。