谷歌 Project Zero团队负责人 Ben Hawkes 在推特上披露称,苹果在发布 iOS 12.1.4 安全更新前,修复了已遭在野利用的两个 0day 漏洞。
0day 漏洞是软件厂商已经知晓但尚未推出补丁的漏洞,因此可导致设备易受攻击。
Hawkes 提交的第一个 iOS 0day 漏洞已遭利用,编号为 CVE-2019-7286。iOS12.1.4 安全更新中提到,该漏洞影响“应用程序和框架的功能基层”Foundation 框架。
Foundation
适用于:iPhone 5s及后续版本、iPad Air 及后续版本及 iPod touch 第6代;
影响:应用程序或可获取提升权限;
描述:改进输入验证,解决内存损坏问题;
CVE-2019-7286:由匿名研究员、谷歌威胁分析团队的 Clement Lecigne、谷歌 ProjectZero 团队的 Ian Beer 和 Samuel Groβ发现。
第二个 0day 漏洞影响“通过设备接口机制,实现对I/O Kit 对象的非内核访问权限的” IOKit。
IOKit
适用于:iPhone 5s及后续版本、iPad Air 及后续版本及 iPod touch 第6代;
影响:通过内核权限执行任意代码的应用程序;
描述:改进输入验证,解决内存损坏问题;
CVE-2019-7287:由匿名研究员、谷歌威胁分析团队的 Clement Lecigne、谷歌 Project Zero 团队的 Ian Beer 和 Samuel Groβ发现。
除了这两个 0day 问题影响运行 iOS 12.1.3 的设备外,苹果还修复了存在于 FaceTime 群聊通话功能中的严重的窃听问题。
现在 iOS 0day 漏洞的价码很高,比如 Zerodium 公司给出的最高价格为200万美元。
原文来自:
本文地址://lrxjmw.cn/ios-0day.html编辑:薛鹏旭,审核员:逄增宝
Linux大全:
Linux系统大全: