谷歌公布iOS漏洞 iMessage客户端可被利用发动攻击
编辑:琦玉 2019-07-31 11:12:13 国际 27谷歌公布iOS严重漏洞!7月31日消息,据外媒报道,谷歌旗下安全团队Project Zero的两名成员日前发布了6个苹果iOS系统中的漏洞,这些漏洞6个“无交互”安全漏洞使iMessage客户端可被利用发动攻击。
上周, 7 月 22 日苹果公司推出了iOS 12. 4正式版,修补了以上发现的六个安全漏洞。有关其中一个“无交互”漏洞的详细信息已被保密,因为Apple的iOS 12. 4 补丁并没有完全解决这个漏洞,据两位谷歌Project Zero研究人员之一的Natalie Silvanovich发现并报告了这些漏洞。
根据研究人员的说法,六个安全漏洞中的四个可能导致在远程iOS设备上执行恶意代码,无需用户交互操作。攻击者需要做的就是向受害者的手机发送格式错误的消息,一旦用户打开并查看收到的项目,恶意代码就会执行。
四个错误是CVE-2019-8641(详细信息保密),CVE-2019-8647,CVE-2019- 8660 和CVE-2019-8662。链接的错误报告包含有关每个错误的技术详细信息,还包含可用于制作漏洞利用的概念验证代码。
第五和第六个错误,CVE-2019- 8624 和CVE-2019-8646,可以允许攻击者从设备的内存泄漏数据并从远程设备读取文件 - 而且无需用户交互。以上发现的BUG价值得超过 500 万美元
这些漏洞是由和谷歌Project Zero安全研究员Silvanovich和SamuelGroß共同发现的。Silvanovich将在下周将在拉斯维加斯举行的黑客安全会议上发表关于远程和无交互式iPhone漏洞的演讲。
根据漏洞交易平台Zerodium发布的价格图表,当在漏洞利用市场上出售时,像这样的漏洞可以带来超过 100 万美元的漏洞猎人。可以毫不夸张地说,谷歌安全团队刚刚公布了iOS漏洞价值超过500万美元,而且很可能价值约 1000 万美元。