Google發(fā)現(xiàn)6個(gè)iOS漏洞僅修復(fù)了5個(gè)

如果您擁有iOS設(shè)備，例如iPhone (亞馬遜上為$ 440.99)或iPad (亞馬遜上為$ 394.00)，請(qǐng)盡快安裝iOS 12.4。它修復(fù)了由Google零項(xiàng)目安全團(tuán)隊(duì)最近發(fā)現(xiàn)的大多數(shù)(但不是全部)安全漏洞，該漏洞無(wú)需用戶(hù)進(jìn)行任何利用即可被利用。

正如ZDNet報(bào)道的那樣，Google在零號(hào)項(xiàng)目的旗幟下雇用了一支安全分析人員團(tuán)隊(duì)，負(fù)責(zé)發(fā)現(xiàn)零日漏洞并通知相關(guān)公司，以便對(duì)其進(jìn)行修復(fù)而不是加以利用。兩名“零項(xiàng)目”安全研究人員(Natalie Silvanovich和SamuelGroß)最近發(fā)現(xiàn)了六個(gè)iOS漏洞，并將這些漏洞報(bào)告給了Apple。

問(wèn)題是，Apple上周發(fā)布了iOS 12.4，其中包含針對(duì)所有六個(gè)漏洞的補(bǔ)丁程序，但是即使應(yīng)用了該補(bǔ)丁程序，仍然可以利用其中一個(gè)漏洞。這六個(gè)漏洞都是嚴(yán)重的安全漏洞，被認(rèn)為是“無(wú)交互的”，這意味著無(wú)需用戶(hù)輸入即可使用iOS設(shè)備。

攻擊以格式錯(cuò)誤的iMessage形式進(jìn)行。其中四個(gè)漏洞使用附加到郵件的惡意代碼，該惡意代碼在打開(kāi)郵件時(shí)自動(dòng)執(zhí)行。另外兩個(gè)依靠?jī)?nèi)存泄漏來(lái)遠(yuǎn)程訪問(wèn)設(shè)備上的數(shù)據(jù)。

由于Apple僅成功修復(fù)了六個(gè)漏洞中的五個(gè)，零項(xiàng)目決定只發(fā)布五個(gè)漏洞的詳細(xì)信息和演示代碼(CVE-2019-8624，CVE-2019-8646，CVE-2019-8647，CVE-2019- 8660和CVE-2019-8662)，因此允許Apple有更多時(shí)間發(fā)布另一個(gè)補(bǔ)丁。如果您想知道這些漏洞在公開(kāi)市場(chǎng)上的價(jià)值是多少，每個(gè)漏洞可以輕易賣(mài)出100萬(wàn)美元以上。