谷歌零號(hào)項(xiàng)目的研究人員發(fā)現(xiàn)了一些iOS攻擊，該項(xiàng)目的任務(wù)是尋找軟件中的錯(cuò)誤。ZDNet本周有報(bào)告。零項(xiàng)目的幾個(gè)成員能夠識(shí)別與iOS相關(guān)的六個(gè)安全漏洞。六個(gè)中的五個(gè)已經(jīng)發(fā)布了概念驗(yàn)證代碼，以及有關(guān)其工作原理的演示。研究人員特別指出，可以通過(guò)iMe??ssage客戶端處理這些漏洞。

但是，好消息是，這六個(gè)漏洞已通過(guò)iOS 12.4的公開(kāi)發(fā)布進(jìn)行了修補(bǔ)。因此，盡管已經(jīng)解決了這些最新的安全問(wèn)題，從而大大降低了它們的有效性，但提醒您，與您每天使用的軟件保持最新至關(guān)重要。

值得注意的是，這種情況下的一個(gè)錯(cuò)誤仍處于秘密狀態(tài)(至少到目前為止)，因?yàn)楸M管iOS 12.4確實(shí)修補(bǔ)了全部六個(gè)漏洞，但至少其中一個(gè)總線尚未完全解決，至少據(jù)Natalie Silvanovich所述，發(fā)現(xiàn)錯(cuò)誤的研究人員之一。塞繆爾middot;格羅斯(SamuelGroszlig;)是發(fā)現(xiàn)這些錯(cuò)誤的另一位研究員。

據(jù)研究人員稱，六個(gè)安全漏洞中的四個(gè)可以導(dǎo)致在遠(yuǎn)程iOS設(shè)備上執(zhí)行惡意代碼，而無(wú)需用戶交互。攻擊者所需要做的就是向受害人的手機(jī)發(fā)送格式錯(cuò)誤的消息，一旦用戶打開(kāi)并查看收到的項(xiàng)目，惡意代碼就會(huì)執(zhí)行。

四個(gè)錯(cuò)誤是CVE-2019-8641(細(xì)節(jié)保密)，CVE-2019-8647，CVE-2019-8660和CVE-2019-8662。鏈接的錯(cuò)誤報(bào)告包含有關(guān)每個(gè)錯(cuò)誤的技術(shù)詳細(xì)信息，還包含可用于利用漏洞的概念驗(yàn)證代碼。

第五和第六個(gè)漏洞CVE-2019-8624和CVE-2019-8646可以使攻擊者從設(shè)備的內(nèi)存中泄漏數(shù)據(jù)并從遠(yuǎn)程設(shè)備讀取文件-甚至無(wú)需用戶干預(yù)。

找蟲(chóng)子可以帶來(lái)豐厚的回報(bào)。正如原始報(bào)告中指出的那樣，這些類型的漏洞可能給研究人員帶來(lái)超過(guò)100萬(wàn)美元的損失。因此，這些安全問(wèn)題池可能帶來(lái)了500萬(wàn)美元以上的收入，但考慮到它們?cè)谧钚掳姹镜膇OS上運(yùn)行，其價(jià)值也可能高達(dá)2400萬(wàn)美元。

基本上，如果尚未升級(jí)，請(qǐng)確保盡快升級(jí)到iOS 12.4。