谷歌公布苹果iMessage多个严重漏洞 用户需立即升级iOS 12.4进行修复
谷歌旗下安全实验室目前已经公布苹果的 iMessage 消息应用多个安全漏洞并且提醒用户需要立即进行修复。
这些漏洞由于危害程度相当高因此谷歌只公布其中部分漏洞信息,还有些漏洞苹果暂时还没有彻底进行修复。
所以那些尚未公布的漏洞可能还需要段时间才会公布,不过对于普通用户来说立即升级到最新版本才最重要。
谷歌安全工程师表示攻击者只需要向用户发送特定的乱码信息即可触发 iMessage 的安全漏洞然后窃取文件。
也就是说只要用户没有关闭 iMessage 并且手机号码或邮件被泄露,那么攻击者即可向用户远程发动攻击等。
额外限制条件是用户收到攻击者发送的信息后需打开,如果没有打开的话则漏洞不会被触发亦不会产生泄露。
研究人员表示引发漏洞的原因是某个组件存在问题,即便使用安全编码攻击者也依然能够完成编码转换攻击。
至于说漏洞危害极高的主要原因是利用漏洞攻击者可以远程窃取文件,即发送的信息里会连接攻击者服务器。
利用漏洞攻击者可以将本地文件加载到内存中以及引起越界读取甚至越界写入,这会引发非常严重的问题等。
也正是如此攻击者如有必要的话可以读取本地存储的文件,甚至将特定的机密文件上传到攻击者的服务器上。
该漏洞影响 iPhone 5S、iPad Air 以及第六代 iPod Touch 之后的所有产品,所以影响范围也是相当广泛的。
除上述漏洞外谷歌研究人员还在 iMessage 中发现另外的漏洞,攻击者借助此漏洞可用来远程执行任意代码。
同时攻击者如果在有必要的时候还可以将其他应用杀掉,因此对iOS 系统来说上述漏洞可摧毁安全防护功能。
此外谷歌还有两个没说的漏洞是关于输入认证的问题,借助该漏洞恶作剧攻击者可以让收到信息的设备变砖。
不过漏洞细节尚未公布因为还有漏洞苹果未彻底修复,苹果表示也将采取措施对信息实施过滤防止恶意内容。