谷歌安全研究人員披露價值1000萬美元的iOS漏洞

最近更新了你的iPhone嗎?如果你的答案是肯定的，那么你現(xiàn)在應該這樣做了，因為谷歌的安全研究人員已經(jīng)發(fā)現(xiàn)蘋果iOS中總共有六個漏洞可以在沒有iPhone用戶與他們交互的情況下利用它們。

Google的安全研究人員Natalie Silvanovich和SamuelGroß發(fā)現(xiàn)了這六個漏洞，作為該公司Project Zero項目的一部分，其中研究人員的任務是找到零日漏洞和漏洞，并向負責該軟件的公司報告。

根據(jù)ZDNet的一份報告，六個漏洞中有四個導致遠程在iOS設備(如iPhone或iPad)上執(zhí)行惡意代碼。攻擊者需要做的就是向受害者的iPhone或iPad發(fā)送包含惡意代碼的消息。一旦受害者打開受感染的消息，代碼就會自動執(zhí)行。

剩下的兩個漏洞可能允許惡意攻擊者從基于iOS的設備讀取文件或從iPhone的內(nèi)存泄漏數(shù)據(jù)，而無需服務或程序與設備所有者進行交互。

所有六個漏洞都是“無交互”的，如前所述可以在沒有Apple設備所有者的任何交互的情況下運行。Apple已使用iOS更新版本12.4修復了所有六個漏洞。所以，如果你還沒有更新你的iPhone(或你的iPad)，你應該立即這樣做。

有趣的是，對于那些制作攔截工具和監(jiān)控軟件的供應商而言，這些無交互操作的iPhone錯誤價值數(shù)百萬美元，這些軟件可以讓他們在未被發(fā)現(xiàn)的情況下滲透到iPhone中。該報告指出，Silvanovich將于下周在拉斯維加斯舉行的Black Hat安全會議上發(fā)表關于無交互式iPhone攻擊的討論的詳細信息，價值1000萬美元。

一個漏洞利用供應商Crowdfense告訴該出版物，最近版本的iOS上的漏洞價值在200萬到400萬美元之間，最近發(fā)現(xiàn)的漏洞的集體價值在2000萬到2400萬美元之間。