8月20日，蘋(píng)果因嚴(yán)重安全漏洞登上微博熱搜榜第一。

美國(guó)蘋(píng)果公司當(dāng)?shù)貢r(shí)間8月17日發(fā)布兩份安全報(bào)告，兩份報(bào)告披露，公司旗下智能手機(jī)iPhone、平板電腦iPad和iMac電腦等產(chǎn)品存在嚴(yán)重安全漏洞。這些漏洞可能會(huì)讓潛在的攻擊者入侵用戶(hù)設(shè)備、獲得管理權(quán)限甚至完全控制設(shè)備并運(yùn)行其中的應(yīng)用軟件。蘋(píng)果公司稱(chēng)已經(jīng)開(kāi)始尋找存在以上安全漏洞的原因及相應(yīng)的解決方法。

據(jù)介紹，蘋(píng)果 HTML 渲染引擎 (WebKit) 中存在一個(gè)名為 CVE-2022-32893 的遠(yuǎn)程代碼執(zhí)行漏洞 (RCE) ，通過(guò)該漏洞，黑客可以可以欺騙 iPhone、iPad 和 Mac 運(yùn)行未經(jīng)授權(quán)和不受信任的代碼；而 CVE-2022-32893 是 WebKit 中的越界寫(xiě)入問(wèn)題，專(zhuān)家建議用戶(hù)盡快更新系統(tǒng)和瀏覽器。

蘋(píng)果公司呼吁用戶(hù)下載最新更新，修補(bǔ)漏洞

在上周三發(fā)布的安全更新中，蘋(píng)果表示：該漏洞可能已被用于攻擊行為。

具體是什么樣的漏洞呢？

“這就是我們所說(shuō)的零日漏洞，也就是在公司發(fā)現(xiàn)并能夠做出回應(yīng)之前，已經(jīng)被黑客所使用過(guò)的漏洞?！?美國(guó)麥迪安網(wǎng)絡(luò)安全公司（Mandiant）的高級(jí)威脅情報(bào)顧問(wèn)杰米·科利爾（Jamie Collier）介紹道。

據(jù)介紹，受本次漏洞影響的設(shè)備涵蓋了幾乎所有的蘋(píng)果產(chǎn)品。其中，手機(jī)包括iPhone 6S及以后的型號(hào)；平板包括第五代及以后的iPad，所有iPad Pro，以及iPad Air 2；電腦則是運(yùn)行MacOS Monterey的Mac。此外，該漏洞還能影響到部分型號(hào)的iPod。

當(dāng)?shù)貢r(shí)間8月19日，蘋(píng)果公司呼吁用戶(hù)立刻下載最新更新，以修補(bǔ)漏洞。目前在蘋(píng)果官網(wǎng)上，蘋(píng)果依然宣稱(chēng)“生產(chǎn)市場(chǎng)上最安全的移動(dòng)設(shè)備”。

2020年，Google研究人員曾曝光iPhone隱私漏洞

2020年12月5日，《今日俄羅斯》網(wǎng)站以及多家國(guó)外科技網(wǎng)站報(bào)道稱(chēng)，一名來(lái)自Google公司的資深信息安全研究員，發(fā)現(xiàn)了蘋(píng)果手機(jī)等設(shè)備存在重大漏洞，無(wú)需接觸你的手機(jī)就可以獲取你的一切信息。

按照這位研究人員的說(shuō)法，這個(gè)漏洞的關(guān)鍵是蘋(píng)果公司一個(gè)簡(jiǎn)稱(chēng)為AWDL的網(wǎng)絡(luò)協(xié)議。當(dāng)前蘋(píng)果手機(jī)、平板、手表等設(shè)備都在使用這項(xiàng)網(wǎng)絡(luò)協(xié)議，例如，蘋(píng)果用戶(hù)可以通過(guò)AirDrop輕松將照片和文件傳輸?shù)狡渌O(píng)果設(shè)備，就是基于這個(gè)AWDL協(xié)議完成的。

利用這個(gè)漏洞，Google的研究人員花了6個(gè)月的時(shí)間，成功控制了隔壁房間的一臺(tái)蘋(píng)果手機(jī)。入侵過(guò)程只要2分鐘左右，就可以訪(fǎng)問(wèn)手機(jī)上的所有數(shù)據(jù)，包括瀏覽信息、下載照片，甚至打開(kāi)攝像頭和麥克風(fēng)進(jìn)行監(jiān)視和監(jiān)聽(tīng)。

研究人員說(shuō)，入侵的黑客不僅不用觸碰設(shè)備，還可能從來(lái)都沒(méi)有見(jiàn)過(guò)他所入侵的設(shè)備。更可怕的是，即使用戶(hù)關(guān)閉了AWDL協(xié)議，但黑客依舊有辦法重新打開(kāi)它。不僅是蘋(píng)果手機(jī)，蘋(píng)果的其他設(shè)備也能通過(guò)這個(gè)方法被“掌控”。

研究人員說(shuō)，雖然他一個(gè)人花了半年的時(shí)間才入侵成功。但用戶(hù)并不能掉以輕心，這個(gè)過(guò)程對(duì)一個(gè)黑客團(tuán)隊(duì)來(lái)說(shuō)，會(huì)容易得多。蘋(píng)果方面已經(jīng)在2020年5月新系統(tǒng)中修復(fù)了這個(gè)漏洞。但是Google的研究人員表示，蘋(píng)果公司即便修復(fù)后也沒(méi)有告知用戶(hù)這個(gè)漏洞，整個(gè)過(guò)程，用戶(hù)完全不知情。

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門(mén)】免費(fèi)試用

本文來(lái)源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話(huà)：400-869-9193 負(fù)責(zé)人：張明