本周，美國(guó)巨頭蘋果公司發(fā)布了緊急安全更新，旨在修復(fù)其iOS和iPadOS操作系統(tǒng)的三個(gè)漏洞。根據(jù)蘋果公司的說(shuō)法，以前未知的漏洞可以一起用于訪問(wèn)用戶的個(gè)人數(shù)據(jù)和其他類型的數(shù)字威脅。

被稱為“ CVE-2021-1780”，“ CVE-2021-1781”和“ CVE-2021-1782”的漏洞對(duì)用戶隱私構(gòu)成了重大風(fēng)險(xiǎn)。前兩個(gè)與Safari瀏覽器使用的WebKit引擎有關(guān)。后者指的是系統(tǒng)的內(nèi)核，可以提升進(jìn)程的特權(quán)，從而授權(quán)用戶不允許的操作。

這種類型的缺陷，也稱為“零時(shí)差”，發(fā)生在黑客在操作系統(tǒng)發(fā)布之前就可以訪問(wèn)其開(kāi)發(fā)過(guò)程，并借此機(jī)會(huì)插入可以在未來(lái)的虛擬犯罪中利用的惡意代碼時(shí)。

在這種情況下，卡巴斯基駐巴西的高級(jí)安全分析師Fabio Assolini解釋了受漏洞影響的系統(tǒng)可能遭受的某些風(fēng)險(xiǎn)。

Assolini詳細(xì)介紹說(shuō)，盡管蘋果采取了保護(hù)措施，但仍然存在威脅系統(tǒng)隱私的威脅：“存在一種有效的感染方法，即所謂的“按下載下載”攻擊。目標(biāo)只需要訪問(wèn)準(zhǔn)備有漏洞的網(wǎng)頁(yè)，該漏洞將利用操作系統(tǒng)中的漏洞來(lái)進(jìn)行入侵。

他補(bǔ)充說(shuō)，該問(wèn)題是一個(gè)嚴(yán)重的缺陷，因?yàn)樗谔幚硪粋€(gè)漏洞，因此可以完全入侵該系統(tǒng)。在這種情況下，網(wǎng)絡(luò)罪犯可以訪問(wèn)所有用戶的個(gè)人數(shù)據(jù)，包括具有端到端加密的通訊程序，位置歷史記錄和電子郵件。Assolini對(duì)此案持肯定態(tài)度：“修復(fù)漏洞是抵抗攻擊的最佳方法。”

責(zé)任編輯：lq