7月31日消息,據(jù)國(guó)外媒體報(bào)道,谷歌的安全研究人員之前發(fā)現(xiàn)了蘋(píng)果iOS系統(tǒng)的6個(gè)漏洞,但其中仍有一個(gè)尚未修補(bǔ)。
據(jù)ZDNet報(bào)道,iOS的漏洞被由谷歌Project Zero項(xiàng)目的兩位研究者納塔利·西爾瓦諾維奇(Natalie Silvanovich)和塞繆爾·格羅(Samuel Gro)所發(fā)現(xiàn),其中有五個(gè)已通過(guò)上周放出的iOS 12.4更新得到修補(bǔ)。iOS 12.4更新包含數(shù)個(gè)安全補(bǔ)丁。
研究人員發(fā)現(xiàn)的漏洞全都是“無(wú)交互的”,這意味著它們可以在沒(méi)有任何來(lái)自用戶的交互的情況下運(yùn)行,它們利用iMessage客戶端中的一個(gè)漏洞。其中4個(gè)漏洞(包括尚未修補(bǔ)的那個(gè)漏洞)依賴于攻擊者向未修補(bǔ)的手機(jī)發(fā)送包含惡意代碼的消息,一旦用戶打開(kāi)消息就可以執(zhí)行。剩下的兩個(gè)漏洞依賴于內(nèi)存缺陷。
五個(gè)獲得修補(bǔ)的漏洞的細(xì)節(jié)已在網(wǎng)上公布,但最后的一個(gè)漏洞在它被蘋(píng)果公司解決之前仍不會(huì)公布。不管怎么樣,如果你還沒(méi)有把你的iPhone升級(jí)到iOS 12.4,最好馬上就去升級(jí)。下周,在拉斯維加斯舉行的黑帽(Black Hat)安全會(huì)議上,西爾瓦諾維奇將發(fā)表關(guān)于無(wú)交互iPhone攻擊的演講。
幸運(yùn)的是,這些漏洞是由安全研究人員發(fā)現(xiàn)的,他們無(wú)意利用這些漏洞來(lái)謀利。ZDNet指出,像這樣的漏洞對(duì)攔截工具和監(jiān)視軟件的制造商來(lái)說(shuō)是價(jià)值連城的,在蘋(píng)果為其防御軟件系統(tǒng)打上補(bǔ)丁之前,可能會(huì)有人愿意為了獲取這些漏洞信息出價(jià)數(shù)百萬(wàn)美元。通過(guò)向蘋(píng)果披露這些漏洞,兩位安全研究人員為全世界的iOS用戶做了一件好事。(樂(lè)邦)