Apple越獄ios12.4 發(fā)布后“意外解開”舊的漏洞
責(zé)編:gltian |2019-08-22 16:03:48越獄后的iPhone允許您安裝通常不被Apple批準(zhǔn)的應(yīng)用程序和其他功能,但它也會禁用Apple為保護其用戶而實施的一些系統(tǒng)保護,從而使您可以進(jìn)行潛在的攻擊。
通常情況下,iPhone Jailbreaks被發(fā)現(xiàn)漏洞的人以數(shù)百萬美元的價格出售,但如果你想要越獄你的Apple設(shè)備,你可以免費使用它。
一位匿名研究人員 “Pwn20wnd”發(fā)布了?針對iOS 12.4?的GitHub?免費?越獄?,利用iOS內(nèi)核中免費使用后出現(xiàn)的漏洞,今年早些時候已經(jīng)向負(fù)責(zé)向蘋果人員報告。
該漏洞被追蹤為?CVE-2019-8605?,允許應(yīng)用程序在目標(biāo)Apple設(shè)備上執(zhí)行具有系統(tǒng)權(quán)限的任意代碼,這不僅可以用于越獄,還可以使用戶容易受到黑客攻擊。
根據(jù)研究人員的說法,除了將漏洞嵌入到一個看似無辜的應(yīng)用程序之外,還可以通過將其與Apple Safari Web瀏覽器或其他Internet暴露服務(wù)中的沙箱旁路漏洞相結(jié)合來遠(yuǎn)程利用此漏洞。
盡管Apple在iOS 12.3中修補了此漏洞,但它在iOS 12.4中意外地重新引入了同樣的錯誤,使黑客更容易破壞Apple設(shè)備。
正如Pwn20wnd?告訴?Motherboard,“有人可以通過利用這個漏洞來制造完美的間諜軟件。”
“例如,他說,惡意應(yīng)用程序可能包含對此錯誤的攻擊,允許它逃脫通常的iOS沙箱 – 一種阻止應(yīng)用程序訪問其他應(yīng)用程序或系統(tǒng)數(shù)據(jù)的機制 – 并竊取用戶數(shù)據(jù)。”
新的越獄工具適用于更新的iOS設(shè)備,包括iPhone XS,XS Max和XR或2019 iPad Mini和iPad Air,運行iOS 12.4和iOS 12.2或更早版本,但在iOS 12.3的設(shè)備上完全不起作用錯誤。
一些蘋果用戶在Twitter上發(fā)文,聲稱他們用Pwn20wnd越獄工具成功越獄他們的蘋果設(shè)備,包括最近的iPhone X和iPhone XR,并張貼他們的iPhone屏幕截圖與未經(jīng)批準(zhǔn)的應(yīng)用程序安裝。
由于Apple不允許用戶降級他們的操作系統(tǒng),已經(jīng)將Apple設(shè)備升級到上個月末發(fā)布的最新版iOS的用戶除了等待Apple的更新外別無選擇。
可能,Apple已經(jīng)在開發(fā)一個補丁來重新實現(xiàn)早期的補丁,該補丁將隨iOS 12.4.1發(fā)布。同時,在修補程序發(fā)布之前,用戶還應(yīng)該注意從App Store下載的應(yīng)用程序。
原文鏈接:https://thehackernews.com/2019/08/ios-iphone-jailbreak.html
轉(zhuǎn)載自安全加:http://toutiao.secjia.com/article/page?topid=111887
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運維!全新FortiAIOps 3.0重新定義IT運營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報告(2024年)》
- 火狐中國終止運營:辦公地?zé)o人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標(biāo)準(zhǔn)化應(yīng)用實踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時代!