Apple新聞 iOS安全防護

iOS 12.4修補高達36個漏洞,有6個無互動漏洞來自 Google 安全團隊

蘋果在上週釋出 iOS 12.4 ,直到今天早上突然緊急關閉舊有 iOS 版本,主要是這次新版修補了高達36個安全漏洞,其中有6個重大漏洞全來自Google 安全團隊 Project Zero 成員 Natalie Silvanovich 和 Samuel Groß 所提供,分別為 CVE-2019-8624、CVE-2019-8641、CVE-2019-8646、CVE-2019-8647、CVE-2019-8660和CVE-2019-8662 安全修補,Silvanovich 也決定會在下週黑帽安全大會上分享其中相關細節,並且現場展示攻擊 iPhone。

iOS 12.4修補高達36個漏洞,有6個無互動漏洞來自 Google 安全團隊

 

Project Zero 團隊所發現到的其中5個漏洞都屬於 iMessage 漏洞,根據研究人員表示,其中有4個漏洞只要攻擊者向受害者發送漏洞 iMessage 訊息,只要用戶打開後,馬上就能夠讓惡意代碼立即執行,也算是非常嚴重的漏洞,不過大多數都已經在 iOS 12.4 上遭到修補。

這六個漏洞分別為

  • CVE-2019-8647(代碼):遠端攻擊者可能得以執行任意程式碼。
  • CVE-2019-8660(代碼):遠端攻擊者可能導致應用程式意外終止或執行任意程式碼。
  • CVE-2019-8662(代碼):遠端攻擊者可能得以在應用程式內觸發「使用釋放後記憶體出錯」,使不受信任的 NSDictionary 被還原序列化。
  • CVE-2019-8641(代碼保密):遠端攻擊者可能導致應用程式意外終止或執行任意程式碼。
  • CVE-2019-8624(代碼):遠端攻擊者可能得以洩漏記憶體。
  • CVE-2019-8646(代碼):遠端攻擊者可能得以洩漏記憶體。

其中一個 CVE-2019-8641 漏洞被稱為「無互動」漏洞,則是沒有被公布細節,根據 Silvanovich 透露從蘋果報告內確定都還尚未完美真正修補這個漏洞,防止會被人濫用,因此也讓她不考慮公布漏洞細節。

根據 ZDNet 從漏洞交易平台 Zerodium 價目標上能確認,每個漏洞項目在駭客市場都超值,價格都能超過 100 萬美元,如果在黑市上販售價格可拉高到500萬美元一個。根據阿拉伯聯合大公國安全漏洞研究公司 Crowdfense 預估,這些漏洞是非常有價值,價格預估會在 200萬到400萬美元之間,所以總價值會是在 2400 萬美元。

Google安全團隊成員Silvanovich 也準備在下週到美國拉斯維加斯舉行的黑帽安全大會(Black Hat)分享相關細節,根據簡介說明,更會展示如何讓用戶不需要互動就能攻擊 iPhone ,並可利用 SMS、MMS、Visual Voicemail、iMessage和 Mail 中實現漏洞。

如今對於一位沒有打算越獄用戶,也建議是離即更新到 iOS 12.4 版本上,防止自己設備暴露在風險之下。

 

參考來源:blackhatiOS 12.4安全性

▼ 如果覺得本篇教學不錯,歡迎加入瘋先生粉絲團追最新教學技巧 ▼