苹果公司修复的一个漏洞可以让攻击者通过让用户查看恶意JPEG来控制iPhone或iPad。
苹果公司发布了iPhone和Mac硬件的安全更新,这是该公司推出私人漏洞赏金计划以来的首次。
任何被苹果邀请参与该计划的精英黑客都可以获得高达20万美元的报酬。据《福布斯》(Forbes)最近报道,该公司在9月下旬邀请参与者参加了一个有关该项目的简报会。
今年8月,苹果公司(Apple)宣布了这一计划,最高奖励仅限于攻击安全固件,以确保其设备上运行的软件的完整性。
谷歌增加bug奖励程序的奖励
尽管谷歌最近才增加了对与公司合作披露漏洞的研究人员的奖励,但它再次增加了对漏洞的奖励,尤其是针对跨站点脚本漏洞的奖励。与谷歌对Chrome漏洞发布奖励的习惯不同,苹果没有说周一发布的任何补丁是否符合其私人漏洞奖励计划的支付条件。尽管如此,这些修复措施凸显了第三方研究人员对苹果软件安全的重要性。苹果被认为是iOS 10.1版本中修复的12个漏洞之一。
在这些外部发现的漏洞中,有一个来自腾讯(Tencent) KeenLab的研究人员,它可以让攻击者通过让用户简单地查看恶意JPEG文件,来控制iPhone或iPad。同样的错误在macOS Sierra 10.12.1中被修复,它也是在周一发布的。
谷歌的bug猎人在Project Zero上继续帮助保护苹果软件,本月的文章解决了一个bug,该bug允许应用程序使用根特权执行任意代码。Project Zero还帮助解决了iOS系统引导中的一个问题,该问题可能会允许拥有该设备的攻击者在内核中执行任意代码。
Safari WebKit浏览器引擎的内存修复也将防止黑客利用恶意网站攻击iphone、ipad和Mac设备,而iOS沙箱的清理也将防止黑客窃取录音和照片目录的元数据。
苹果周一还发布了针对OS X Yosemite v10.10.5、OS X El Capitan v10.11.6和macOS Sierra 10.12的Safari 10.0.1,这三个版本都包含了针对WebKit的三个补丁。
苹果最新的桌面操作系统macOS Sierra已经升级到10.12.1,修复了Sierra 10.12中的12个问题,以及最新的Safari补丁。它也有针对macos之前的Mac OS X的补丁。直到昨天的补丁发布之前,运行OS X El Capitan的Mac电脑在处理恶意制作的PDF文件后,可能被攻击者拥有。
随着新版iOS的发布,苹果还修复了watchOS和tvOS的相关缺陷,分别适用于Apple Watch和AppleTV。WatchOS 3.1修复了8个缺陷,而tvOS 10.0.1解决了11个安全缺陷。