快升级iOS 12.4 要不你手机上的文件可能会被看光光

  • 时间:
  • 浏览:2

一向重视用户隐私保护的苹果4 机照样有翻车的之前 ,继 Siri“偷听门”被曝出后,iOS 中的一有另5个漏洞又让 iMessage 成了众矢之的。借助该漏洞,攻击者我不要 任何用户交互,就能远程读取用户存储在 iOS 设备上的内容。

该漏洞由谷歌 Project Zero 安全研究人员 Natalie Silvanovich 发现,代号 CVE-2019-8646。5 月份找到这个 iMessage 漏洞后,Silvanovich 就将它报告给了苹果4 机。

Silvanovich 只在 iOS 12 或更高版本设备上完成了当时人的漏洞测试,他的测试也可是我我 为了示范该漏洞在 Springboard 上的可存取性。也可是我我 说,这个 漏洞造成的后果将会比想象中要严重的多。

Silvanovich 指出,这个 iMessage 间题是由 _NSDataFileBackedFuture 引发的,即使用上安全编码,黑客依然能完成串并转换。一旦攻击者呼叫 NSData,就能将本地文件加载进内存。

在 Project Zero 的 Bug 追踪器上,Silvanovich 将这个 间题描述为:

“首先,将会再次总出 了代码串并转换和共享,它将会会允许不速之客对本地文件的访问(原先的状态受害最严重的是使用串行化对象进行本地通信的每种)。其次,它允许生成与字节排列长度不同的 NSData 对象,这就违背了原有的基础行态,会造成越界读取,甚至引发越界写入。利用这个 点,攻击者能生成较大的 NSData 对象,而将会缓冲区有备份,原先的状态绝不将会再次总出 。”

雷锋网(公众号:雷锋网)发现,在本月 22 号推送的 iOS 12.4 更新中,苹果4 机成功封堵了该漏洞。除了出台法律法律依据防止攻击者解码,苹果4 机还应用了更强大的文件 URL 过滤技术。

iOS 更新文件显示,越界读取的间题曾再次总出 在 Siri 和 iOS 核心数据每种,它的波及范围含有了 苹果4 机 5s、iPad Air 和第六代 iPod Touch 及之前 的苹果4 机产品。

鉴于该漏洞影响广泛,雷锋网强烈建议用户尽快升级至 iOS 12.4。

iOS 12.4 还修复了哪些地方 iMessage 漏洞?

与谷歌 Project Zero 的同事企业合作,Silvanovich 还发现了另外有另5个 iMessage 漏洞。在 iOS 12.4 更新中,苹果4 机也同去对其进行了修复。

第一有另5个漏洞是 iOS 核心数据每种的内存 Bug,代号为 CVE-2019-8630。远程攻击者能借助该漏洞老会 “杀掉”应用或执行任意代码,其影响范围与上述漏洞一模一样。

第5个漏洞代号为 CVE-2019-8647,它让远程攻击者能在 苹果4 机 5s、iPad Air 和第六代 iPod Touch 及之前 的苹果4 机设备上执行任意代码。

雷锋网了解到,在研究工作中,Silvanovich 一共捕获了 5 个 iMessage 漏洞,没细说的 2 个包括了输入认证间题,它能借助畸形信息攻击者能让人的设备变砖(iOS 12.3 升级中将会得到修复)。最后一有另5个则是越界读取造成的内存泄露(本月 22 日发布的 watchOS 5.3 进行了修复)。

微信公众号搜索"

驱动之家

"加关注,每日最新的手机、电脑、汽车、智能硬件信息我不要 让人一手全掌握。推荐关注!【

微信扫描下图可直接关注