导航菜单

一个漏洞 500 万,苹果一次修复 36 个!

1564757401432014302.gif

苹果上周发布了iOS 12.4。昨天,Apple再次关闭了iOS 12.3,12.3.1,12.3.2的验证渠道,并且只允许用户升级到iOS 12.4。为什么Apple急于关闭旧系统?

1564757401925676444.jpg

除了Apple Card等新功能外,iOS 12.4还可以修复多达36个系统高风险漏洞。实际上,在新版本的iOS中修复漏洞是很正常的,但这次在iOS系统中存在安全团队提交的漏洞,例如Google Project Zero和腾讯KeenLab [1]。

1564757402305824522.jpg

1564757402715570046.jpg

Google Project Zero团队成员Natalie Silvanovich和Samuel Gro分别为CVE和CVE安全漏洞提供了六个主要漏洞。 Natalie Silvanovich还将在下周的黑帽安全大会上分享该漏洞的详细信息,并在没有用户互动的情况下展示对iPhone的远程攻击[2]。

1564757402981606186.jpg

Google Project Zero发现的五个漏洞是iMessage漏洞的一部分,据研究人员称,其中四个漏洞是“无交互”的安全漏洞。只要攻击者向攻击者发送包含漏洞的iMessage信息,用户就可以在用户点击时立即启动攻击,这是一个非常严重的漏洞。

1564757403525961051.jpg

正是由于其“无相互作用”特征,该漏洞在黑市中引起了很多关注。根据阿联酋安全漏洞研究公司Crowdfense的估计,每个漏洞的售价超过20万美元,其中最高的可能高达500万美元。这些漏洞的总价值可能超过2400万美元。合计1.65亿元人民币)。

1564757403753307423.jpg

可以在Google Project Zero网站上找到5个漏洞(如CVE和CVE)的代码,而CVE代码仍然是私有的[3]。

1564757404294311813.jpg

根据Natalie Silvanovich的说法,Apple仍然不能很好地修复CVE漏洞,所以他无法发布漏洞的代码和细节。

1564757404633672157.jpg

目前在iOS 12.4中,Apple已经修复了大部分漏洞。对于不打算越狱的用户,Xiaole仍建议升级到iOS 12.4,以免将设备暴露在危险之中。

1564757404946895041.jpg

1564757405302020944.jpg

1564757405799117815.png