苹果未能在iOS 15.0.1中修补已被公开披露的零日漏洞

移动开发
苹果周五推送了iOS 15的修正更新15.0.1,但该版本似乎主要针对可用性问题,因为上周公开披露的三个零日漏洞并没有得到修补。

苹果周五推送了iOS 15的修正更新15.0.1,但该版本似乎主要针对可用性问题,因为上周公开披露的三个零日漏洞并没有得到修补。9月,安全研究员丹尼斯·托卡雷夫(化名illusionofcha0s)称,苹果公司忽视了多份与新发现的零日漏洞有关的报告,这些漏洞存在于该公司的移动操作系统iOS中。

[[427041]]

托卡列夫在一篇博文中说,他在3月10日至5月4日期间向苹果公司报告了四个缺陷,虽然一个问题在iOS 14.7中得到了修补,但其他三个仍然处于活跃状态。

这位安全研究员周五在Twitter上报告说,这三个问题在最新的iOS 15.0.1中仍然存在。

他自己承认,剩下的零日漏洞并不紧急,其中一个涉及到一个错误,黑客必须以某种方式骗过苹果审查人员允许其进入应用程序商店,才可以使恶意制作的应用程序读取用户的苹果ID信息。

不过,苹果公司对通过"漏洞赏金计划"报告的这些漏洞的处理方式让托卡列夫感到很不满意,他在9月底写了一篇博文,详细介绍了他与科技巨头团队的互动。据这位研究人员说,苹果公司没有列出它在iOS 14.7中修补的安全问题,也没有在随后的安全页面更新中添加有关该缺陷的信息。

illusionofchaos当时写道:"当我面对他们时,他们向我道歉,向我保证这是由于处理问题而发生的,并承诺在下次更新的安全内容页面上列出它。从那时起,有三次类似的情况,他们每次都违背了他们的承诺。"

苹果公司看到了托卡雷夫的博文,并再次表示歉意。该公司表示,截至9月27日,其团队仍在调查其余三个漏洞。托卡列夫上周公开了这些缺陷,以符合道德黑客批评苹果公司的Bug Bounty计划和该公司对公共安全研究人员的一般处理方式,称其缺乏沟通、在赏金支付上也有问题。

本周早些时候,研究人员Bobby Rauch公开披露了一个AirTag漏洞,此前苹果公司没有回答关于该漏洞的基本问题,也没有回答Rauch是否会因发现该漏洞而得到奖励。该漏洞允许攻击者插入代码,当设备在丢失模式下被扫描时,可以将用户重定向到一个恶意的网页上。

责任编辑:未丽燕 来源: cnBeta.COM
相关推荐

2021-10-15 11:33:11

苹果 iOS 漏洞

2022-09-19 00:51:58

漏洞苹果应用程序

2016-08-29 21:09:32

2021-09-24 11:08:49

零日漏洞漏洞攻击

2022-12-15 15:01:28

2023-10-25 16:07:28

2024-08-12 15:26:42

2022-06-04 07:51:29

零日漏洞网络攻击

2021-09-28 14:19:36

iOS应用系统

2021-05-25 14:22:55

Android漏洞Google

2022-06-16 08:46:30

漏洞黑客微软

2019-08-26 00:30:48

2023-03-28 22:54:40

2009-02-18 15:09:49

2024-04-25 12:17:35

2022-07-14 14:03:17

漏洞安全Windows

2010-06-17 10:01:34

2023-09-10 00:14:30

2022-05-17 14:50:35

漏洞苹果零日漏洞

2024-01-17 23:05:38

点赞
收藏

51CTO技术栈公众号