iOS 12.4修补高达36个漏洞 – 其中6个无互动漏洞来自Google安全团队

苹果在上周释出iOS 12.4 ,昨天早上突然紧急关闭旧的iOS版本,主要是这次新版修补了高达36个安全漏洞,其中有6个重大漏洞全来自Google 安全团队Project Zero 成员Natalie Silvanovich 和Samuel Groß 所提供,分别为CVE-2019-8624、CVE-2019-8641、CVE-2019-8646、CVE-2019-8647、CVE-2019-8660和CVE-2019-8662 安全修补,Silvanovich 也决定会在下周黑帽安全大会上分享其中相关细节,并且现场展示攻击iPhone。

Project Zero 团队所发现到的其中5个漏洞都属于iMessage 漏洞,根据研究人员表示,其中有4个漏洞只要攻击者向受害者发送漏洞iMessage信息,只要用户打开后,马上就能够让恶意代码立即执行,也算是非常严重的漏洞,不过大多数都已经在iOS 12.4进行修补。

  • CVE-2019-8647(代码):远端攻击者可能得以执行任意程序代码。
  • CVE-2019-8660(代码):远端攻击者可能导致应用程序意外终止或执行任意程序代码。
  • CVE-2019-8662(代码):远端攻击者可能得以在应用程序程式内触发「使用释放后内存出错」,使不受信任的NSDictionary被还原序列化。
  • CVE-2019-8641(代码保密):远端攻击者可能导致应用程序意外终止或执行任意程序代码。
  • CVE-2019-8624(代码):远端攻击者可能得以泄漏内存。
  • CVE-2019-8646(代码):远端攻击者可能得以泄漏内存。

iOS 12.4修补高达36个漏洞 - 其中6个无互动漏洞来自Google安全团队

其中一个CVE-2019-8641 漏洞被称为「无互动」漏洞,则是没有被公布细节,根据Silvanovich 透露从苹果报告内确定都还尚未完美真正修补这个漏洞,防止会被人滥用,因此也让她不考虑公布漏洞细节。

根据ZDNet 从漏洞交易平台Zerodium 价目标上能确认,每个漏洞项目在黑客市场都超值,价格都能超过100 万美元,如果在黑市上贩售价格可拉高到500万美元一个。根据阿拉伯联合大公国安全漏洞研究公司Crowdfense 预估,这些漏洞是非常有价值,价格预估会在200万到400万美元之间,所以总价值会是在2400 万美元。

Google安全团队成员Silvanovich 也准备在下周到美国拉斯维加斯举行的黑帽安全大会(Black Hat)分享相关细节,根据简介说明,更会展示如何让用户不需要互动就能攻击iPhone ,并可利用SMS、MMS、Visual Voicemail、iMessage和Mail 中实现漏洞。

参与评论