苹果公开感谢腾讯玄武实验室只因一个漏洞,我跟发现漏洞的人聊了聊
腾讯安全玄武实验室发现的其中一个漏洞编号为CVE -2017-7085,具体威胁表现为,在iOS 11和Safari 11之前的版本中,当用户浏览网络时,可能会因访问恶意网站而导致地址栏被篡改,这将对用户隐私安全带来极大威胁。目前,苹果已通过状态管理的改进解决了用户界面不一致问题,修复了该漏洞。
10月1日,腾讯安全旗下的微信公众号“腾讯安全联合实验室”(ID:txaqlhsys)发文称,苹果再次公开致谢,腾讯安全玄武实验室再现漏洞“收割”技能。
文章称,北京时间9月20日凌晨,苹果正式发布iOS 11操作系统,这一系统相较iOS 10迎来多项重大更新,且可以支持自iPhone 5S以后的所有机型。在系统升级的同时,苹果公司在官网同步发布了iOS 11以及Safari 11的安全更新,其中特别强调,苹果已修复了腾讯安全玄武实验室提交的两大安全漏洞,并为此表示感谢。
腾讯安全玄武实验室发现的其中一个漏洞编号为CVE -2017-7085,具体威胁表现为,在iOS 11和Safari 11之前的版本中,当用户浏览网络时,可能会因访问恶意网站而导致地址栏被篡改,这将对用户隐私安全带来极大威胁。目前,苹果已通过状态管理的改进解决了用户界面不一致问题,修复了该漏洞。
同时,苹果也对腾讯安全玄武实验室提供的另一个Webkit高危漏洞表达额外感谢。
对此,虎嗅电话采访了发现上述漏洞的玄武实验室的研究人员徐少培,他告诉虎嗅,上述两个漏洞是今年4月份发现的,后来提交给苹果,但直到iOS 11才修复。
苹果更新有自己的周期,并不是说你今天提交它明天或后天就给你修复了。“苹果通常情况修复一个漏洞需要2到3个月,或者半年。我之前报(给苹果)的一个漏洞,2年后才修复。”徐少培说。
上文提及的两个漏洞属于URL欺骗漏洞,或称地址栏欺骗,属于UI前端的漏洞,可以让黑客篡改用户当前地址栏中的URL。比如当用户访问谷歌,假如被黑客修改了后,你访问谷歌的某个链接,虽然你看到的那个页面也写着谷歌,但页面内容其实已经被更改了,如果此时页面上让你输入用户名和密码,用户很可能就会轻易上当、被钓鱼。
根据腾讯安全实验室介绍,腾讯安全玄武实验室就因协助苹果发现漏洞而获得官方致谢,这也是国内少数安全研究团队能够获得的特别认可。
TK表示,安全技术和解决方案需要软硬件厂商以及信息安全商场共同面对,腾讯安全玄武实验室将通过不断的核心技术攻关,持续帮助厂商提升产品的安全性能,保障广大用户的上网安全。
但据虎嗅了解,苹果更新漏洞特别慢,除非有特别严重、高危的漏洞,苹果才会发新版本更新,否则一般两三个月、半年才更新一次。
另外,黑客如果发现了非常重大的漏洞后可能会保留漏洞,而不是提交给苹果。比如在网络战的时候,给你发一个短信,你用苹果的iMessage接收的话,你点一下它,它可能就会直接控制你的手机。这种漏洞,黑客发现了基本上也不会报给苹果,这种会用在各国网络战之中。
但也有可能会被苹果截获:“卧槽,有这么大的bug!”这时候苹果就会加班加点推出一个更新版本堵住漏洞。
安全领域的黑客故事,永远比我们看到的精彩。
相关文章:
- @苹果用户,苹果曝出严重安全漏洞,几乎涵盖所有产品!建议马上这样做→
- Apple Store被曝出现大量色情App 内置两套界面绕过审核
- 被曝光后,色情App仍可下载!苹果除了“震惊”还能做些什么?
- “会退出中国市场”?苹果敢吗?
- 上手苹果昨晚发布的新系统,我觉得他们不仅在画饼,还致敬了友商。。。
- 苹果证实收购吴恩达旗下自动驾驶公司Drive.ai
- 外媒分析:苹果一定没造车!
- 苹果起诉德国自行车比赛商标侵权:过于相似
- 和高通和解后 苹果5G芯片项目负责人离职
- 苹果吐血与高通和解,留下尴尬的华为
- 是谁刺痛苹果的“芯”脏?
- 华为余承东首次表态5G芯片开放 欢迎苹果使用
- 苹果不再收取99美元Mac数据迁移费
- 找不到芯片,发不出5G手机,苹果要找华为帮忙?
- 5G时代“缺芯”的苹果,抱得住华为这棵大树吗?
发表回复