消息！谷歌發(fā)現(xiàn)6處iPhone安全漏洞 仍有1處蘋果未修復(fù)

7月31日消息，據(jù)國外媒體報(bào)道，谷歌的安全研究人員之前發(fā)現(xiàn)了蘋果iOS系統(tǒng)的6個(gè)漏洞，但其中仍有一個(gè)尚未修補(bǔ)。

據(jù)ZDNet報(bào)道，iOS的漏洞被由谷歌Project Zero項(xiàng)目的兩位研究者納塔利·西爾瓦諾維奇(Natalie Silvanovich)和塞繆爾·格羅(Samuel Gro)所發(fā)現(xiàn)，其中有五個(gè)已通過上周放出的iOS 12.4更新得到修補(bǔ)。iOS 12.4更新包含數(shù)個(gè)安全補(bǔ)丁。

研究人員發(fā)現(xiàn)的漏洞全都是“無交互的”，這意味著它們可以在沒有任何來自用戶的交互的情況下運(yùn)行，它們利用iMessage客戶端中的一個(gè)漏洞。其中4個(gè)漏洞(包括尚未修補(bǔ)的那個(gè)漏洞)依賴于攻擊者向未修補(bǔ)的手機(jī)發(fā)送包含惡意代碼的消息，一旦用戶打開消息就可以執(zhí)行。剩下的兩個(gè)漏洞依賴于內(nèi)存缺陷。

五個(gè)獲得修補(bǔ)的漏洞的細(xì)節(jié)已在網(wǎng)上公布，但最后的一個(gè)漏洞在它被蘋果公司解決之前仍不會公布。不管怎么樣，如果你還沒有把你的iPhone升級到iOS 12.4，最好馬上就去升級。下周，在拉斯維加斯舉行的黑帽(Black Hat)安全會議上，西爾瓦諾維奇將發(fā)表關(guān)于無交互iPhone攻擊的演講。

幸運(yùn)的是，這些漏洞是由安全研究人員發(fā)現(xiàn)的，他們無意利用這些漏洞來謀利。ZDNet指出，像這樣的漏洞對攔截工具和監(jiān)視軟件的制造商來說是價(jià)值連城的，在蘋果為其防御軟件系統(tǒng)打上補(bǔ)丁之前，可能會有人愿意為了獲取這些漏洞信息出價(jià)數(shù)百萬美元。通過向蘋果披露這些漏洞，兩位安全研究人員為全世界的iOS用戶做了一件好事。(樂邦)