iOS 12.4修补高达36个漏洞,其中6个漏洞来自 Google 安全团队
苹果在上周发布iOS 12.4,直到今天早上突然紧急关闭旧有iOS版本,主要是这次新版修补了高达36个安全漏洞,其中有6个重大漏洞全来自Google安全团队Project Zero成员Natalie Silvanovich和Samuel Groß所提供,分别为CVE-2019-8624、CVE-2019-8641、CVE-2019-8646、CVE-2019-8647、CVE-2019-8660和CVE-2019-8662安全修补,Silvanovich也决定会在下周黑帽安全大会上分享其中相关细节,并且现场展示攻击iPhone。
Project Zero团队所发现到的其中5个漏洞都属于iMessage漏洞,根据研究人员表示,其中有4个漏洞只要攻击者向受害者发送漏洞iMessage信息,只要用户打开后,马上就能够让恶意代码立即执行,也算是非常严重的漏洞,不过大多数都已经在iOS 12.4上遭到修补。
这六个漏洞分别为
CVE-2019-8647(代码):远端攻击者可能得以执行任意代码。
CVE-2019-8660(代码):远端攻击者可能导致应用程序意外终止或执行任意代码。
CVE-2019-8662(代码):远端攻击者可能得以在应用程序内触发「使用释放后內存出错」,使不受信任的NSDictionary被还原串行化。
CVE-2019-8641(代码保密):远端攻击者可能导致应用程序意外终止或执行任意代码。
CVE-2019-8624(代码):远端攻击者可能得以泄漏內存。
CVE-2019-8646(代码):远端攻击者可能得以泄漏內存。
其中一个CVE-2019-8641漏洞被称为「无互动」漏洞,则是没有被公布细节,根据Silvanovich透露从苹果报告内确定都还尚未完美真正修补这个漏洞,防止会被人滥用,因此也让她不考虑公布漏洞细节。
根据ZDNet从漏洞交易平台Zerodium价目标上能确认,每个漏洞项目在黑客市场都超值,价格都能超过100万美元,如果在黑市上贩售价格可拉高到500万美元一个。根据阿拉伯联合大公国安全漏洞研究公司Crowdfense预估,这些漏洞是非常有价值,价格预估会在200万到400万美元之间,所以总价值会是在2400万美元。
Google安全团队成员Silvanovich也准备在下周到美国拉斯维加斯举行的黑帽安全大会(Black Hat)分享相关细节,根据简介说明,更会展示如何让用户不需要互动就能攻击iPhone,并可利用SMS、MMS、Visual Voicemail、iMessage和Mail中实现漏洞。
如今对于一位没有打算越狱用户,也建议是离即更新到iOS 12.4版本上,防止自己设备暴露在风险之下。
发表评论