谷歌0号项目的研究人员发现了一些iOS攻击,这个项目的任务是发现软件中的错误。ZDNet本周有一篇报道。零项目的几名成员能够识别出六个与iOS相关的安全漏洞。六家公司中有五家已经发布了概念验证代码,并演示了它们的工作原理。研究人员特别指出,这些漏洞可以通过iMe ssage客户端来处理。
然而,好消息是,这六个漏洞已经通过iOS 12.4的公开发布得到了修复。因此,尽管这些最新的安全问题已经得到解决,这大大降低了它们的有效性,但提醒您每天使用的软件保持最新是很重要的。
值得注意的是,这种情况下的一个错误仍然处于秘密状态(至少到目前为止是这样),因为尽管iOS 12.4确实修复了所有六个漏洞,但至少有一条总线还没有完全解决,至少根据发现该错误的研究人员之一娜塔莉席尔瓦诺维奇(Natalie Silvanovich)的说法。塞缪尔米多;gross(SamuelGroszlig;)是发现这些错误的另一位研究者。
据研究人员称,六个安全漏洞中有四个会导致恶意代码在没有用户交互的情况下在远程iOS设备上执行。攻击者需要做的是向受害者的手机发送格式错误的消息。一旦用户打开并查看收到的项目,恶意代码就会被执行。
四个错误分别是CVE-2019-8641(详情保密)、CVE-2019-8647、CVE-2019-8660和CVE-2019-8662。的链接错误报告包含每个错误的技术详细信息,以及可用于利用漏洞的概念验证代码。
第五个和第六个漏洞CVE-2019-8624和CVE-2019-8646使攻击者能够从设备内存中泄漏数据并从远程设备读取文件,即使没有用户干预。
寻找bug可以带来巨大的回报。正如原始报告中指出的,这些类型的漏洞可能会给研究人员带来超过100万美元的损失。因此,这些安全问题池可能会带来超过500万美元的收入,但考虑到它们运行在最新版本的iOS上,其价值可能高达2400万美元。
基本上,如果你还没有升级,请确保尽快升级到iOS 12.4。