侵权投诉
当前位置:

OFweek安防网

其它

正文

苹果推出“FacePalm”补丁,修复最大隐私漏洞

导读: 近日,苹果公司修补了其最可怕的漏洞之一——FaceTime messenger应用程序的一个漏洞,该漏洞使得人们能够窃听iphone和mac电脑捕捉的音频和视频。

近日,苹果公司修补了其最可怕的漏洞之一——FaceTime messenger应用程序的一个漏洞,该漏洞使得人们能够窃听iphone和mac电脑捕捉的音频和视频。

苹果的两个严重漏洞

Group FaceTime的一个功能是允许会议电话式的聊天,但它的缺陷使得监听别人变得很简单,只需启动一个FaceTime通话,向上滑动并选择“add person”,然后输入自己的号码,就可以在一个Group FaceTime通话中加入自己。当人们在接收端看到有电话时,他们并不知道试图连接的人已经可以听到附近的声音,在很多情况下,甚至还可以看到视频。

谷歌项目的安全研究人员说,周四苹果修复的另外两个严重的iOS安全漏洞受到了攻击。一个错误索引为CVE-2019-7287,是IOKit中的内存损坏缺陷。苹果表示,它可能允许应用程序使用内核特权执行任意代码。Foundation中的另一个内存损坏bug CVE-2019-7286可能允许应用程序获得更高的特权。

根据苹果公司对漏洞的描述,这些漏洞可能是严重的,因为它们从根本上颠覆了苹果公司的安全模型,该模型阻止应用程序访问其他应用程序,也阻止应用程序与iOS本身的安全交互。谷歌发言人拒绝提供有关袭击的细节,苹果的一名代表也拒绝置评。

10天前,当窃听漏洞的细节首次曝光时,隐私倡导者和普通用户都感到震惊。当一名14岁的少年发现了这一漏洞,而苹果公司在这名少年的母亲发送了多封电子邮件后未能采取行动时,人们要求苹果公司给出答案。据路透社报道,自那以来,纽约司法部长Letitia James就此事展开了调查,一些批评者现在把这个漏洞称为FacePalm。

周四,苹果发布了iOS和macOS更新,修复了这个问题。 “在处理FaceTime群组调用时存在一个逻辑问题,”公告称。“这个问题通过改善状态管理得到了解决。”

在经历了一些无法解释的延迟之后,苹果去年推出了Group FaceTime。批评人士说,FacePalm的脆弱性证明,这项新功能在上线之前没有经过充分测试。这名少年的母亲无法联系到苹果公司的某个人,后者能够理解她儿子发现的严重性,这使得苹果公司的安全和质量保证流程受到了更多批评。

本周早些时候,18岁的Linus Henze上传了一段视频,讨论他所说的macOS的一个弱点,即没有必要将存储在密钥链中的密码暴露给恶意应用程序,这让苹果的安全再次受到审视。Henze没有提供更多细节,但他将这一弱点与美国国家安全局前黑客Patrick Wardle在2017年披露的类似弱点进行了比较。

虽然这两个密钥链漏洞可能很严重,但只有在恶意软件已经安装到机器上之后,才可能被利用。对于大多数攻击者来说,这本身就是一个很大的负担。Wardle表示,苹果修复了这个漏洞,但尚不清楚新的漏洞是否会被修复。到目前为止,Henze拒绝向苹果提供技术细节,他说此举是为了抗议苹果没有一个覆盖macOS的漏洞赏金计划。

如何更新?

一旦FacePalm漏洞的消息被公开,苹果就在其服务器上禁用了群组FaceTime,此举可能阻止了任何人进一步窃听不知情的用户。不过,出于极大的谨慎,iOS和MacOS用户应该尽快安装更新。

默认情况下,更新是自动安装的,但通常不是马上安装。想在iOS上更新的话,可以选择设置>通用>软件更新,然后选择下载安装。要手动安装macOS更新,请选择系统首选项>软件更新>并下载。

声明: 本文系OFweek根据授权转载自其它媒体或授权刊载,目的在于信息传递,并不代表本站赞同其观点和对其真实性负责,如有新闻稿件和图片作品的内容、版权以及其它问题的,请联系我们。

我来说两句

(共0条评论,0人参与)

请输入评论内容...

请输入评论/评论长度6~500个字

您提交的评论过于频繁,请输入验证码继续

暂无评论

暂无评论

文章纠错
x
*文字标题:
*纠错内容:
联系邮箱:
*验 证 码:

粤公网安备 44030502002758号