Google發(fā)現(xiàn)6個iOS漏洞僅修復(fù)了5個

如果您擁有iOS設(shè)備，例如iPhone (亞馬遜上為$ 440.99)或iPad (亞馬遜上為$ 394.00)，請盡快安裝iOS 12.4。它修復(fù)了由Google零項目安全團(tuán)隊最近發(fā)現(xiàn)的大多數(shù)(但不是全部)安全漏洞，該漏洞無需用戶進(jìn)行任何利用即可被利用。

正如ZDNet報道的那樣，Google在零號項目的旗幟下雇用了一支安全分析人員團(tuán)隊，負(fù)責(zé)發(fā)現(xiàn)零日漏洞并通知相關(guān)公司，以便對其進(jìn)行修復(fù)而不是加以利用。兩名“零項目”安全研究人員(Natalie Silvanovich和SamuelGroß)最近發(fā)現(xiàn)了六個iOS漏洞，并將這些漏洞報告給了Apple。

問題是，Apple上周發(fā)布了iOS 12.4，其中包含針對所有六個漏洞的補(bǔ)丁程序，但是即使應(yīng)用了該補(bǔ)丁程序，仍然可以利用其中一個漏洞。這六個漏洞都是嚴(yán)重的安全漏洞，被認(rèn)為是“無交互的”，這意味著無需用戶輸入即可使用iOS設(shè)備。

攻擊以格式錯誤的iMessage形式進(jìn)行。其中四個漏洞使用附加到郵件的惡意代碼，該惡意代碼在打開郵件時自動執(zhí)行。另外兩個依靠內(nèi)存泄漏來遠(yuǎn)程訪問設(shè)備上的數(shù)據(jù)。

由于Apple僅成功修復(fù)了六個漏洞中的五個，零項目決定只發(fā)布五個漏洞的詳細(xì)信息和演示代碼(CVE-2019-8624，CVE-2019-8646，CVE-2019-8647，CVE-2019- 8660和CVE-2019-8662)，因此允許Apple有更多時間發(fā)布另一個補(bǔ)丁。如果您想知道這些漏洞在公開市場上的價值是多少，每個漏洞可以輕易賣出100萬美元以上。