谷歌公布IOS漏洞:可通过iMessage发动攻击

看世界导读:   最近,谷歌Google精英漏洞搜索团队project zero 的两名队员公布了iOS操作系统的6个“无需交互”的安全漏洞中5个详细信息和演示利用代码,他们说,这些漏洞可能被不法分子通过iMessage利用来

  最近,谷歌Google精英漏洞搜索团队project zero 的两名队员公布了iOS操作系统的6个“无需交互”的安全漏洞中5个详细信息和演示利用代码,他们说,这些漏洞可能被不法分子通过iMessage利用来做非法的行径。R2D看世界

/R2D看世界

  7月22日,苹果发布了iOS 12.4,修补了所有六个安全漏洞。R2D看世界

  发现并报告漏洞的两名谷歌研究人员之一娜塔莉·西尔万诺维奇(Natalie Silvanovich)表示,有关其中一个漏洞的细节一直被保密,因为苹果的iOS 12.4补丁没有完全解决该漏洞。R2D看世界

/

R2D看世界

  根据研究人员的说法,六个安全漏洞中的四个可以导致在远程iOS设备上执行恶意代码,而无需用户交互。攻击者需要做的只是向受害者的手机发送格式错误的消息,一旦用户打开并查看接收到的项目,恶意代码就会执行。这四个漏洞是CVE-2019-8641(细节保密)、CVE-2019-8647、CVE-2019-8660和CVE-2019-8662。R2D看世界

  第五和第六个漏洞:CVE-2019-8624和CVE-2019-8646允许攻击者从设备内存中泄漏数据并从远程设备读取文件,同样无需用户交互。所以各位iOS用户如果收到可疑信息请不要查看,条件允许就尽量升级iOS 12.4。R2D看世界

  在下周于拉斯维加斯举办的“黑帽(black hat)安全会议上,谷歌的安全研究人员将进行关于远程和无交互iPhone漏洞的一场演示。谷歌精英漏洞搜索团队project zero成立于2014年7月,专门为第三方软件寻找漏洞。他们并不会去利用这些漏洞做什么,只会对第三方软件开发商发出提示和警告,以避免被不法分子利用。R2D看世界