苹果公开感谢腾讯玄武实验室只因一个漏洞，我跟发现漏洞的人聊了聊

10月1日，腾讯安全旗下的微信公众号“腾讯安全联合实验室”（ID：txaqlhsys）发文称，苹果再次公开致谢，腾讯安全玄武实验室再现漏洞“收割”技能。

文章称，北京时间9月20日凌晨，苹果正式发布iOS 11操作系统，这一系统相较iOS 10迎来多项重大更新，且可以支持自iPhone 5S以后的所有机型。在系统升级的同时，苹果公司在官网同步发布了iOS 11以及Safari 11的安全更新，其中特别强调，苹果已修复了腾讯安全玄武实验室提交的两大安全漏洞，并为此表示感谢。

腾讯安全玄武实验室发现的其中一个漏洞编号为CVE -2017-7085，具体威胁表现为，在iOS 11和Safari 11之前的版本中，当用户浏览网络时，可能会因访问恶意网站而导致地址栏被篡改，这将对用户隐私安全带来极大威胁。目前，苹果已通过状态管理的改进解决了用户界面不一致问题，修复了该漏洞。

同时，苹果也对腾讯安全玄武实验室提供的另一个Webkit高危漏洞表达额外感谢。

对此，虎嗅电话采访了发现上述漏洞的玄武实验室的研究人员徐少培，他告诉虎嗅，上述两个漏洞是今年4月份发现的，后来提交给苹果，但直到iOS 11才修复。

苹果更新有自己的周期，并不是说你今天提交它明天或后天就给你修复了。“苹果通常情况修复一个漏洞需要2到3个月，或者半年。我之前报（给苹果）的一个漏洞，2年后才修复。”徐少培说。

上文提及的两个漏洞属于URL欺骗漏洞，或称地址栏欺骗，属于UI前端的漏洞，可以让黑客篡改用户当前地址栏中的URL。比如当用户访问谷歌，假如被黑客修改了后，你访问谷歌的某个链接，虽然你看到的那个页面也写着谷歌，但页面内容其实已经被更改了，如果此时页面上让你输入用户名和密码，用户很可能就会轻易上当、被钓鱼。

根据腾讯安全实验室介绍，腾讯安全玄武实验室就因协助苹果发现漏洞而获得官方致谢，这也是国内少数安全研究团队能够获得的特别认可。

TK表示，安全技术和解决方案需要软硬件厂商以及信息安全商场共同面对，腾讯安全玄武实验室将通过不断的核心技术攻关，持续帮助厂商提升产品的安全性能，保障广大用户的上网安全。

但据虎嗅了解，苹果更新漏洞特别慢，除非有特别严重、高危的漏洞，苹果才会发新版本更新，否则一般两三个月、半年才更新一次。

另外，黑客如果发现了非常重大的漏洞后可能会保留漏洞，而不是提交给苹果。比如在网络战的时候，给你发一个短信，你用苹果的iMessage接收的话，你点一下它，它可能就会直接控制你的手机。这种漏洞，黑客发现了基本上也不会报给苹果，这种会用在各国网络战之中。

但也有可能会被苹果截获：“卧槽，有这么大的bug！”这时候苹果就会加班加点推出一个更新版本堵住漏洞。

安全领域的黑客故事，永远比我们看到的精彩。