谷歌安全研究人員披露價(jià)值1000萬(wàn)美元的iOS漏洞

最近更新了你的iPhone嗎?如果你的答案是肯定的，那么你現(xiàn)在應(yīng)該這樣做了，因?yàn)楣雀璧陌踩芯咳藛T已經(jīng)發(fā)現(xiàn)蘋果iOS中總共有六個(gè)漏洞可以在沒有iPhone用戶與他們交互的情況下利用它們。

Google的安全研究人員Natalie Silvanovich和SamuelGroß發(fā)現(xiàn)了這六個(gè)漏洞，作為該公司Project Zero項(xiàng)目的一部分，其中研究人員的任務(wù)是找到零日漏洞和漏洞，并向負(fù)責(zé)該軟件的公司報(bào)告。

根據(jù)ZDNet的一份報(bào)告，六個(gè)漏洞中有四個(gè)導(dǎo)致遠(yuǎn)程在iOS設(shè)備(如iPhone或iPad)上執(zhí)行惡意代碼。攻擊者需要做的就是向受害者的iPhone或iPad發(fā)送包含惡意代碼的消息。一旦受害者打開受感染的消息，代碼就會(huì)自動(dòng)執(zhí)行。

剩下的兩個(gè)漏洞可能允許惡意攻擊者從基于iOS的設(shè)備讀取文件或從iPhone的內(nèi)存泄漏數(shù)據(jù)，而無(wú)需服務(wù)或程序與設(shè)備所有者進(jìn)行交互。

所有六個(gè)漏洞都是“無(wú)交互”的，如前所述可以在沒有Apple設(shè)備所有者的任何交互的情況下運(yùn)行。Apple已使用iOS更新版本12.4修復(fù)了所有六個(gè)漏洞。所以，如果你還沒有更新你的iPhone(或你的iPad)，你應(yīng)該立即這樣做。

有趣的是，對(duì)于那些制作攔截工具和監(jiān)控軟件的供應(yīng)商而言，這些無(wú)交互操作的iPhone錯(cuò)誤價(jià)值數(shù)百萬(wàn)美元，這些軟件可以讓他們?cè)谖幢话l(fā)現(xiàn)的情況下滲透到iPhone中。該報(bào)告指出，Silvanovich將于下周在拉斯維加斯舉行的Black Hat安全會(huì)議上發(fā)表關(guān)于無(wú)交互式iPhone攻擊的討論的詳細(xì)信息，價(jià)值1000萬(wàn)美元。

一個(gè)漏洞利用供應(yīng)商Crowdfense告訴該出版物，最近版本的iOS上的漏洞價(jià)值在200萬(wàn)到400萬(wàn)美元之間，最近發(fā)現(xiàn)的漏洞的集體價(jià)值在2000萬(wàn)到2400萬(wàn)美元之間。