苹果确认:几乎所有iPhone都存在一个严重漏洞
即将开播:4月29日,民生银行郭庆谈商业银行金融科技赋能的探索与实践
威胁监控公司ZecOps本周发布了一个“大新闻”,指出:
Apple iOS Mail应用程序中存在三个严重漏洞,可被黑客利用进行零点击攻击(无需用户交互即可实施攻击,通常此类漏洞价格高昂,使用者大多是国家级黑客)。自2012年9月发布iOS 6以来,这些漏洞一直存在于Mail应用程序中,这意味着这个“遗传”了八代iOS的严重漏洞影响着当今使用的几乎所有iPhone。 |
苹果公司随即发表声明否认这是程序漏洞,而是“方法漏洞”。作为回应,ZecOps坚持其报告,并发表了自己的回应,反对苹果的声明。
ZecOps坚称这是Apple iOS Mail应用程序中的一个严重漏洞,攻击者可以利用该漏洞远程感染iPhone,并控制其收件箱。此外,ZecOps不仅发现攻击可能在iPhone所有者不知情的情况下发生,而且触发事件已经发生了两年多了,第一个触发事件随后于2018年1月被发现。
本周日,事情再次发生逆转,苹果确认了该漏洞的存在。
根据路透社报道,ZecOps还发现,与上一代iOS相比,这些“零点击”攻击在iOS 13上更容易执行。在iOS 12中,实施攻击需要iPhone用户打开恶意电子邮件。但是使用iOS 13时,只需在后台打开Mail应用程序即可自动触发攻击。
先不要恐慌!
ZecOps指出:“仅这些漏洞就不会对iOS用户造成伤害,因为攻击者随后需要一个额外的信息泄漏漏洞和一个内核漏洞,才能完全控制目标设备。” 但是研究人员还指出,已经发现多起漏洞利用事件。
即使无法利用ZecOps公开的漏洞对目标设备进行基本控制,攻击者仍然可以使用Mail漏洞作为发起侵入式攻击的第一个链接来构建所谓的“漏洞利用链”。iOS安全研究人员和Guardian Firewall的创建者Will Strafach指出,尽管Apple和ZecOps仅对Mail bug的有限实用性是正确的,但认真对待这些类型的bug仍然很重要。
ZecOps透露,受害者中包括北美一家财富500强公司的成员,一名日本电信高管、一名欧洲记者以及安全研究者口中的“VIP”。研究人员说,该公司无法直接分析用于发动攻击的特殊电子邮件,因为黑客利用他们获得的访问权限将其从受害者的手机中删除。
苹果已经向Vice证实,它已经设法在最新的iOS 13.4.5 Beta中修复了该漏洞,并且看起来该公司现在将加快其发布速度。
在获得安全补丁之前,ZecOps给出了缓解措施:禁用Mail应用程序(Apple 在此处提供指南),而改用第三方邮件应用程序。ZecOps发现Outlook和Gmail均不容易受到此漏洞的攻击。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
企业如何进行网络安全防泄密体系建设?
即将开播:4月29日,民生银行郭庆谈商业银行金融科技赋能的探索与实践 泄密事件: 企业泄密的事件,年年都层出不穷,近年发生了众多轰动全国的企业泄密事件: 1、东莞鑫聚光电科技有限公司前副总涉密公司技术方案,导致鑫聚公司损失接近2000多万; 2、东软公司前副总经理李某某为谋取暴利,窃取了CT机核心研发团队的大量资料,导致企业损失1470多万元; 3、温州某微孔过滤有限公司车间主任受利诱泄密,导致公司损失700多万元; 4、老干妈遭泄密:前员工带核心机密跳槽,公司损失一千多万元; 5、原高管跳槽后泄密,青岛海尔损失近三千万元; 6、此前深圳法院已对大疆源代码泄露案作出一审判决,涉事大疆前员工将因泄露公司源代码被处以20万罚款,获刑6个月,但这次意外让大疆损失达116.4万元 7、脸书被爆员工可搜索用户密码 8、国内250万人脸识别数据遭泄 9、某快递公司10亿条数据在暗网兜售,信息涉及收(寄)人姓名,电话,地址等信息 10、时隔两年再次泄露!2020年4月1号万豪酒店520万客人资料泄漏 等等 随着社会进入大数据时代,数据的价值日益被挖掘,数据安全问题已经成为这个时代的核心资产;而国内很...
- 下一篇
让安全过程清晰可见!安博通发布SIIP过程安全架构
即将开播:4月29日,民生银行郭庆谈商业银行金融科技赋能的探索与实践 【51CTO.com原创稿件】4月22日,「VNSTech 2020 · 金融科技专场」安博通SIIP过程安全架构发布会在线上成功召开。会上,安博通提出了SIIP(Security is in Process)过程安全架构,并发布了安全策略检查工具免费版。这款工具作为防火墙必备伴侣,可大幅提升防火墙运维的效率与效果。同时,会议邀请了多位金融行业专家分享他们在实际工作中遇到的难题和实践方案。 安博通SIIP过程安全架构正式发布 安博通CEO苏长君表示,“如果把网络安全当作一个战场,攻方可以在任意时间和地点,利用任意漏洞发起攻击;守方必需全时全网防护,很难用一个固定的产品实现全网全数据的监测。于是,我们有了一些结论和思考,并提出了SIIP过程安全架构。” 安博通基于网络安全的两大本质思考: 一方面,网络安全不是一种或多种有形的硬件或软件成果。安全是一种无形的、柔性的能力,需要融入到任何介质、网络、系统或数据中。全局安全的前提是信息跨平台流动,系统持续优化,各能力组件之间保持关联协同。 另一方面,网络安全之战永不会停止,威...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- CentOS8编译安装MySQL8.0.19
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- CentOS8安装Docker,最新的服务器搭配容器使用
- CentOS7,CentOS8安装Elasticsearch6.8.6
- Red5直播服务器,属于Java语言的直播服务器
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- Hadoop3单机部署,实现最简伪集群
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题