蘋果周五推送了iOS 15的修正更新15.0.1,但該版本似乎主要針對可用性問題,因為上周公開披露的三個零日漏洞並沒有得到修補。9月,安全研究員丹尼斯·托卡雷夫(化名illusionofcha0s)稱,蘋果公司忽視了多份與新發現的零日漏洞有關的報告,這些漏洞存在於該公司的移動操作系統iOS中。
托卡列夫在一篇博文中說,他在3月10日至5月4日期間向蘋果公司報告了四個缺陷,雖然一個問題在iOS 14.7中得到了修補,但其他三個仍然處於活躍狀態。
這位安全研究員周五在Twitter上報告說,這三個問題在最新的iOS 15.0.1中仍然存在。
![VC$1{JMKGDQELBDM7F)TG]X.png](https://dailyclipper.s3.ap-northeast-1.amazonaws.com/wp-content/uploads/2021/10/20211001_6157a066c15ab.png)
![VC$1{JMKGDQELBDM7F)TG]X.png](https://dailyclipper.net/wp-content/themes/justnews/themer/assets/images/lazy.png)
他自己承認,剩下的零日漏洞並不緊急,其中一個涉及到一個錯誤,黑客必須以某種方式騙過蘋果審查人員允許其進入應用程序商店,才可以使惡意製作的應用程序讀取用戶的蘋果ID信息。
不過,蘋果公司對通過”漏洞賞金計劃”報告的這些漏洞的處理方式讓托卡列夫感到很不滿意,他在9月底寫了一篇博文,詳細介紹了他與科技巨頭團隊的互動。據這位研究人員說,蘋果公司沒有列出它在iOS 14.7中修補的安全問題,也沒有在隨後的安全頁面更新中添加有關該缺陷的信息。
illusionofchaos當時寫道:”當我面對他們時,他們向我道歉,向我保證這是由於處理問題而發生的,並承諾在下次更新的安全內容頁面上列出它。從那時起,有三次類似的情況,他們每次都違背了他們的承諾。”
蘋果公司看到了托卡雷夫的博文,並再次表示歉意。該公司表示,截至9月27日,其團隊仍在調查其餘三個漏洞。托卡列夫上周公開了這些缺陷,以符合道德黑客批評蘋果公司的Bug Bounty計劃和該公司對公共安全研究人員的一般處理方式,稱其缺乏溝通、在賞金支付上也有問題。
本周早些時候,研究人員Bobby Rauch公開披露了一個AirTag漏洞,此前蘋果公司沒有回答關於該漏洞的基本問題,也沒有回答Rauch是否會因發現該漏洞而得到獎勵。該漏洞允許攻擊者插入代碼,當設備在丟失模式下被掃描時,可以將用戶重定向到一個惡意的網頁上。
相關文章:
蘋果發布iOS 15.0.1版本 解決Apple Watch解鎖問題和其他錯誤修正