快升级 iOS 12.4,要不你手机上的文件可能会被看光光
一向重视用户隐私保护的苹果照样有翻车的时候,继 Siri“偷听门”被曝出后,iOS 中的一个漏洞又让 iMessage 成了众矢之的。借助该漏洞,攻击者无需任何用户交互,就能远程读取用户存储在 iOS 设备上的内容。
该漏洞由谷歌 Project Zero 安全研究人员 Natalie Silvanovich 发现,代号 CVE-2019-8646。5 月份找到这个 iMessage 漏洞后,Silvanovich 就将它报告给了苹果。
Silvanovich 只在 iOS 12 或更高版本设备上完成了自己的漏洞测试,他的测试也只是为了示范该漏洞在 Springboard 上的可存取性。也就是说,这个漏洞造成的后果可能比想象中要严重的多。
Silvanovich 指出,这个 iMessage 问题是由 _NSDataFileBackedFuture 引发的,即使用上安全编码,手机,苹果黑客依然能完成串并转换。一旦攻击者呼叫 NSData,就能将本地文件加载进内存。
在 Project Zero 的 Bug 追踪器上,Silvanovich 将这个问题描述为:
“首先,如果出现了代码串并转换和共享,它可能会允许不速之客对本地文件的访问(这样的情况受害最严重的是使用串行化对象进行本地通信的部分)。其次,它允许生成与字节排列长度不同的 NSData 对象,这就违背了原有的基础特性,会造成越界读取,甚至引发越界写入。利用这一点,攻击者能生成较大的 NSData 对象,而如果缓冲区有备份,这样的情况绝不可能出现。”
赐研手机维修网发现,在本月 22 号推送的 iOS 12.4 更新中,苹果成功封堵了该漏洞。除了出台措施防止攻击者解码,苹果还应用了更强大的文件 URL 过滤技术。
iOS 更新文件显示,越界读取的问题曾出现在 Siri 和 iOS 核心数据部分,它的波及范围涵盖了 iPhone 5s、iPad Air 和第六代 iPod Touch 及之后的苹果产品。
鉴于该漏洞影响广泛,赐研手机维修网强烈建议用户尽快升级至 iOS 12.4。
iOS 12.4 还修复了什么 iMessage 漏洞?
与谷歌 Project Zero 的同事合作,Silvanovich 还发现了另外两个 iMessage 漏洞。在 iOS 12.4 更新中,苹果也一并对其进行了修复。
第一个漏洞是 iOS 核心数据部分的内存 Bug,代号为 CVE-2019-8660。手机,苹果远程攻击者能借助该漏洞突然“杀掉”应用或执行任意代码,其影响范围与上述漏洞一模一样。
第二个漏洞代号为 CVE-2019-8647,赐研手机维修网它让远程攻击者能在 iPhone 5s、iPad Air 和第六代 iPod Touch 及之后的苹果设备上执行任意代码。
赐研手机维修网了解到,在研究工作中,Silvanovich 一共捕获了 5 个 iMessage 漏洞,没细说的 2 个包括了输入认证问题,手机,苹果它能借助畸形信息攻击者能让你的设备变砖(iOS 12.3 升级中已经得到修复)。最后一个则是越界读取造成的内存泄露
【赐研手机维修网】文章内容来源:https://vip-chn.com/keji/apple/147.html相关文章
- 苹果xr是第几代手机,苹果xr是第几代手机-iphone
- 苹果11是双卡双待手机吗?苹果手机11是双卡双待吗?iphone
- 苹果XR是几代手机,苹果XR是几代iphone
- 苹果手机数据传输到新手机,苹果手机数据传输到新手机如何获取iphone
- 如何将苹果电话号码转移到新手机,如何将苹果电话号码转移到新苹果手机iphone
- 苹果通讯录导入新手机,苹果手机通讯录导入新苹果手机iphone
- 苹果手机复制到另一个苹果手机,苹果手机复制到另一个苹果手机如何取消iphone
- 苹果手机数据如何转移到华为手机,苹果手机数据如何转移到华为手机iphone
- 苹果手机数据如何转移到新手机,苹果手机数据如何转移到新手机iphone
- 如何同步苹果信息到新手机,如何同步苹果短信到新手机iphone