據(jù)美媒ZDNet報(bào)道,谷歌旗下安全團(tuán)隊(duì)Project Zero的兩名成員【納塔利·西爾瓦諾維奇(Natalie Silvanovich)和塞繆爾·格羅(Samuel Gro)】公布了iOS系統(tǒng)的6個(gè)“無(wú)交互”安全漏洞中5個(gè)的詳細(xì)信息和演示用攻擊代碼。這6個(gè)“無(wú)交互”安全漏洞可通過(guò)iMessage客戶端發(fā)動(dòng)攻擊,而無(wú)需用戶交互操作即可遠(yuǎn)程執(zhí)行惡意代碼。此前,蘋果發(fā)布了iOS 12.4版,修復(fù)了這6個(gè)安全漏洞,其中一個(gè)“無(wú)交互”漏洞的細(xì)節(jié)并未公布,因?yàn)閕OS 12.4補(bǔ)丁還沒(méi)有完全解決問(wèn)題。
根據(jù)安全人員的描述,六個(gè)安全漏洞中,四個(gè)漏洞:CVE-2019-8641(細(xì)節(jié)保密)、CVE-2019-8647、CVE-2019-8660和CVE-2019-8662會(huì)被攻擊者利用向受害者發(fā)送格式錯(cuò)誤的消息,一旦用戶打開(kāi)并查看收到的項(xiàng)目,惡意代碼就會(huì)執(zhí)行。剩余兩個(gè)漏洞:CVE-2019-8624和CVE-2019-8646則允許攻擊者從設(shè)備內(nèi)存中泄漏數(shù)據(jù)并從遠(yuǎn)程設(shè)備讀取文件。
根據(jù)漏洞交易平臺(tái)Zerodium的價(jià)格表顯示,類似于谷歌此次公布的這些漏洞,每條的價(jià)格可超過(guò)100萬(wàn)美元。此次谷歌安全團(tuán)隊(duì)公布的iOS漏洞價(jià)值總額已超過(guò)500萬(wàn)美元,甚至接近 1000 萬(wàn)美元。幸運(yùn)的是,這些漏洞由安全研究人員發(fā)現(xiàn)的,他們無(wú)意利用這些漏洞謀利。此次漏洞發(fā)現(xiàn)者之一,Project Zero安全研究員Silvanovich也將于下周在拉斯維加斯舉行的黑客安全會(huì)議上發(fā)表關(guān)于遠(yuǎn)程和無(wú)交互式iPhone漏洞的演講。
在官方完全修復(fù)安全問(wèn)題之前,各位iOS用戶如果收到可疑信息請(qǐng)不要查看,并且盡快將iOS系統(tǒng)升級(jí)至 12.4,以此盡可能的保護(hù)自己信息安全。