如果你有iOS设备,比如iPhone(亚马逊上398.95美元)或者iPad(亚马逊上394.00美元),请尽快安装iOS 12.4。它修复了Google Zero项目安全团队最近发现的大部分(但不是全部)安全漏洞,用户无需任何利用即可被利用。
据ZDNet报道,谷歌已经以Project Zero的名义雇佣了一个安全分析师团队,负责发现零日漏洞,并通知相关公司,以便修复而不是利用这些漏洞。两位“零项目”安全研究人员(Natalie Silvanovich和SamuelGro)最近发现了6个iOS漏洞,并向苹果公司报告了这些漏洞。
问题是,苹果上周发布了iOS 12.4,其中包含了所有六个漏洞的补丁,但即使应用了补丁,其中一个漏洞仍然可以被利用。这6个漏洞都是严重的安全漏洞,被认为是“非交互”的,也就是说iOS设备可以在没有用户输入的情况下使用。
攻击是以格式错误的iMessage形式进行的。其中四个漏洞使用了附加在邮件中的恶意代码,当邮件被打开时会自动执行。另外两种依靠内存泄漏来远程访问设备上的数据。
由于苹果只成功修复了六个漏洞中的五个,Project Zero决定只发布五个漏洞的详细信息和演示代码(CVE-2019-8624、CVE-2019-8646、CVE-2019-8647、CVE-2019- 8660和CVE-2019-8662)。如果你想知道这些漏洞在公开市场上的价值,每个漏洞可以轻松卖到100多万美元。