安全動(dòng)態(tài)

Google 公布重大 iOS 漏洞:可通過 iMessage 發(fā)動(dòng)攻擊

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-07-31    瀏覽次數(shù):
 

信息來源:hackernews

新浪科技訊 北京時(shí)間7月30日晚間消息,據(jù)美國科技媒體ZDNet報(bào)道,谷歌旗下安全團(tuán)隊(duì)Project Zero的兩名成員日前公布了影響iOS系統(tǒng)的6個(gè)“無交互”安全漏洞中其中5個(gè)的詳細(xì)信息和演示用攻擊代碼。

iphone

據(jù)悉,這6個(gè)“無交互”安全漏洞可通過iMessage客戶端發(fā)動(dòng)攻擊。上周,即7月22日,蘋果發(fā)布了iOS 12.4版,修復(fù)了這6個(gè)安全漏洞。但是,其中一個(gè)“無交互”漏洞的細(xì)節(jié)此次并未公布,是因?yàn)閕OS 12.4補(bǔ)丁還沒有完全解決問題。

據(jù)谷歌研究人員稱,這6個(gè)安全漏洞中的4個(gè)可以導(dǎo)致在遠(yuǎn)程iOS設(shè)備上執(zhí)行惡意代碼,而無需用戶交互。攻擊者需要做的只是向受害者的手機(jī)發(fā)送一條“錯(cuò)誤格式”的消息,一旦用戶打開并查看接收到的項(xiàng)目,惡意代碼就會(huì)被執(zhí)行。而第5個(gè)和第6個(gè)漏洞允許攻擊者從設(shè)備內(nèi)存中泄漏數(shù)據(jù),并從遠(yuǎn)程設(shè)備讀取文件,同樣無需用戶干預(yù)。

根據(jù)漏洞交易平臺(tái)Zerodium的價(jià)格表顯示,類似于谷歌此次公布的這些漏洞,每條的價(jià)格可能超過100萬美元??梢院敛豢鋸埖卣f,谷歌此次公開的這些漏洞信息的價(jià)值遠(yuǎn)超500萬美元,很可能達(dá)到1000萬美元。

在下周于拉斯維加斯舉行的“黑帽”(Black Hat)安全會(huì)議上,谷歌安全研究人員將舉行一場關(guān)于遠(yuǎn)程和無交互iPhone漏洞的演示。

谷歌Project Zero安全團(tuán)隊(duì)成立于2014年7月,專為第三方軟件尋找漏洞。他們并不會(huì)利用這些漏洞,只會(huì)對(duì)第三方軟件開發(fā)商發(fā)出警告,以避免被惡意利用。

 
 

上一篇:工業(yè)和信息化部辦公廳關(guān)于廢止部分文件的通知

下一篇:2019年07月31日 聚銘安全速遞