苹果iMessage消息应用被爆安全漏洞,尽快升级iOS 12.4
谷歌旗下安全实验室目前已经公布苹果的 iMessage 消息应用多个安全漏洞并且提醒用户需要立即进行修复。这些漏洞由于危害程度相当高因此谷歌只公布其中部分漏洞信息,还有些漏洞苹果暂时还没有彻底进行修复。所以那些尚未公布的漏洞可能还需要段时间才会公布,不过对于普通用户来说立即升级到最新版本才最重要。
据了解这个漏洞很严重,是由Google Project Zero安全研究人员Natalie Silvanovich所发现的,代号CVE-2019-8646,发现之后第一时间就报告给了Apple。
对于这一个漏洞,Silvanovich称其只在iOS 12或更高版本设备上进行的测试,目的是为了示范漏洞在Springboard上的可存取性。这就意味着,这个漏洞造成的影响可能比想像中严重得多。
Silvanovich指出,这个iMessage问题是由_NSDataFileBackedFuture漏洞引发的,即使是采用安全编码,黑客也还是能够完成串并转换,只要攻击者呼叫NSData,就能将本地文件加载进缓存。
至于说漏洞危害极高的主要原因是利用漏洞攻击者可以远程窃取文件,即发送的信息里会连接攻击者服务器。利用漏洞攻击者可以将本地文件加载到内存中以及引起越界读取甚至越界写入,这会引发非常严重的问题等。也正是如此攻击者如有必要的话可以读取本地存储的文件,甚至将特定的机密文件上传到攻击者的服务器上。该漏洞影响 iPhone 5S、iPad Air 以及第六代 iPod Touch 之后的所有产品,所以影响范围也是相当广泛的。
除上述漏洞外谷歌研究人员还在 iMessage 中发现另外的漏洞,攻击者借助此漏洞可用来远程执行任意代码。同时攻击者如果在有必要的时候还可以将其他应用杀掉,因此对iOS 系统来说上述漏洞可摧毁安全防护功能。此外谷歌还有两个没说的漏洞是关于输入认证的问题,借助该漏洞恶作剧攻击者可以让收到信息的设备变砖。不过漏洞细节尚未公布因为还有漏洞苹果未彻底修复,苹果表示也将采取措施对信息实施过滤防止恶意内容。