iOS 12.4修補高達36個漏洞，有6個無互動漏洞來自 Google 安全團隊

蘋果在上周釋出iOS12.4，直到今天早上突然緊急關(guān)閉舊有iOS版本，主要是這次新版修補了高達36個安全漏洞，其中有6個重大漏洞全來自Google安全團隊ProjectZero成員NatalieSilvanovich和SamuelGro?所提供，分別為CVE-2019-8624、CVE-2019-8641、CVE-2019-8646、CVE-2019-8647、CVE-2019-8660和CVE-2019-8662安全修補，Silvanovich也決定會在下周黑帽安全大會上分享其中相關(guān)細節(jié)，并且現(xiàn)場展示攻擊iPhone。

ProjectZero團隊所發(fā)現(xiàn)到的其中5個漏洞都屬于iMessage漏洞，根據(jù)研究人員表示，其中有4個漏洞只要攻擊者向受害者發(fā)送漏洞iMessage信息，只要用戶打開后，馬上就能夠讓惡意代碼立即執(zhí)行，也算是非常嚴重的漏洞，不過大多數(shù)都已經(jīng)在iOS12.4上遭到修補。

這六個漏洞分別為

• CVE-2019-8647（代碼）：遠端攻擊者可能得以執(zhí)行任意程序碼。
• CVE-2019-8660（代碼）：遠端攻擊者可能導致應用程序意外終止或執(zhí)行任意程序碼。
• CVE-2019-8662（代碼）：遠端攻擊者可能得以在應用程序內(nèi)觸發(fā)“使用釋放后記憶體出錯”，使不受信任的NSDictionary被還原序列化。
• CVE-2019-8641（代碼保密）：遠端攻擊者可能導致應用程序意外終止或執(zhí)行任意程序碼。
• CVE-2019-8624（代碼）：遠端攻擊者可能得以洩漏記憶體。
• CVE-2019-8646（代碼）：遠端攻擊者可能得以洩漏記憶體。

其中一個CVE-2019-8641漏洞被稱為“無互動”漏洞，則是沒有被公布細節(jié)，根據(jù)Silvanovich透露從蘋果報告內(nèi)確定都還尚未完美真正修補這個漏洞，防止會被人濫用，因此也讓她不考慮公布漏洞細節(jié)。

根據(jù)ZDNet從漏洞交易平臺Zerodium價目標上能確認，每個漏洞項目在黑客市場都超值，價格都能超過100萬美元，如果在黑市上販售價格可拉高到500萬美元一個。根據(jù)阿拉伯聯(lián)合大公國安全漏洞研究公司Crowdfense預估，這些漏洞是非常有價值，價格預估會在200萬到400萬美元之間，所以總價值會是在2400萬美元。

Google安全團隊成員Silvanovich也準備在下周到美國拉斯維加斯舉行的黑帽安全大會（BlackHat）分享相關(guān)細節(jié)，根據(jù)簡介說明，更會展示如何讓用戶不需要互動就能攻擊iPhone，并可利用SMS、MMS、VisualVoicemail、iMessage和Mail中實現(xiàn)漏洞。

如今對于一位沒有打算越獄用戶，也建議是離即更新到iOS12.4版本上，防止自己設(shè)備暴露在風險之下。