苹果iMessage漏洞被修复 扼杀远程访问威胁

  苹果在上周推出了新升级版本iOS 12.4,它在功能上的改善并不多,但修补了36个安全漏洞,其中有5个漏洞位于iMessage,当中有一个CVE-2019-8646漏洞允许骇客远程访问iPhone上的文件。

苹果iMessage漏洞被修复 扼杀远程访问威胁

  这5个iMessage漏洞是由Google Zero团队两名研究人员Natalie Silvanovich与Samuel Gro共同提出,包括CVE-2019-8647、CVE-2019-8662、CVE-2019-8660、CVE-2019-8646 与CVE-2019-8641。Silvanovich在本周公布除了CVE-2019-8641之外的漏洞细节,还指出这是由于苹果的更新并未真正解决CVE-2019-8641漏洞。

  其中的CVE-2019-8647属于“使用释放后内存”漏洞,允许骇客远程执行任意程序,苹果通过由改善内存管理来解决。CVE-2019-8662则是允许骇客触发“使用释放后内存”漏洞。CVE-2019-8660是一内存损毁漏洞,远程攻击可造成程序突然中止或执行任意程序。

  至于CVE-2019-8646则是属于越界读取(Out-of-Bounds Read)漏洞,允许骇客泄露内存。

  根据Silvanovich的解释,就算启用了安全编码,也能反序列化_NSDataFileBackedFuture类别,这是一个基于文件的NSData引用,在呼叫NSData bytes时,能将本地端文件载入内存。

  而此一行为造成了两个问题,一是可能允许访问本地端文件,二是造成越界读取,或是有机会形成越界写入。


调查区域:企业小调查(点击预览可查看效果)

凡本网站转载的所有的文章、图片、音频、视频文件等资料的版权归版权所有人,如果您发现网站上有侵犯您的知识产权的作品,请与我们取得联系,我们会及时修改或删除。
返回『行业动态』
推荐产品
PRODUCT
抗D云WAF,DDOS攻击,DDOS流量清洗,高防CDN,CDN防御服务器,CDN防护

抗D云WAF

下一代Web类业务DDoS防御服务,自研云甲DDoS清洗系统,DDoS清洗中心覆盖全球主要国家,千万级CC攻击防御能力,让您的业务固若金汤。

查看详情
云御游戏盾,游戏,游戏盾,直播高防cdn,游戏服务器多少钱,高防主机

云御游戏盾

专为在线游戏打造的终极DDoS防御服务,多种DDoS清洗算法和规则,端云联动,无损清洗DDoS攻击,Anycast近源清洗和加速网络保障游戏丝滑流畅。

查看详情

马上开启您的安全之旅

立即开启