Google 捅蘋果一刀　公佈6個iOS安全漏洞iMessage好危險

2019-07-31 7242

Tags：

據ZDNet報導，Google旗下安全團隊Project Zero的兩名成員Natalie Silvanovich和Samuel Gro公佈了iOS系統的6個「無交互」安全漏洞中5個的詳細信息和演示用攻擊代碼。

這6個「無交互」安全漏洞可通過iMessage客戶端發動攻擊，而無需用戶交互操作即可遠程執行惡意代碼。此前，蘋果發布了iOS 12.4版，修復了這6個安全漏洞，其中一個「無交互」漏洞的細節並未公佈，因為iOS 12.4patch還沒有完全解決問題。

根據安全人員的描述，六個安全漏洞中，四個漏洞CVE-2019-8641（細節保密）、CVE-2019-8647、CVE-2019-8660和CVE-2019-8662會被攻擊者利用向受害者發送格式錯誤的消息，一旦用戶打開並查看收到的項目，惡意代碼就會執行。剩餘兩個漏洞CVE-2019-8624和CVE-2019-8646則允許攻擊者從設備記憶體中洩漏數據並從遠程設備讀取文件。

根據漏洞交易平台Zerodium的價格表顯示，類似於Google此次公佈的這些漏洞，每條的價格可超過100萬美元。此次Google安全團隊公佈的iOS漏洞價值總額已超過500萬美元，甚至接近1000 萬美元。幸運的是，這些漏洞由安全研究人員發現的，他們無意利用這些漏洞謀利。此次漏洞發現者之一，Project Zero安全研究員Silvanovich也將於下週在拉斯維加斯舉行的黑客安全會議上發表關於遠程和無交互式iPhone漏洞的演講。

在官方完全修復安全問題之前，各位iOS用戶如果收到可疑信息請不要查看，並且盡快將iOS系統升級至12.4，以此盡可能的保護自己信息安全。

—完—