本周，美國巨頭蘋果公司發(fā)布了緊急安全更新，旨在修復其iOS和iPadOS操作系統(tǒng)的三個漏洞。根據(jù)蘋果公司的說法，以前未知的漏洞可以一起用于訪問用戶的個人數(shù)據(jù)和其他類型的數(shù)字威脅。

被稱為“ CVE-2021-1780”，“ CVE-2021-1781”和“ CVE-2021-1782”的漏洞對用戶隱私構(gòu)成了重大風險。前兩個與Safari瀏覽器使用的WebKit引擎有關(guān)。后者指的是系統(tǒng)的內(nèi)核，可以提升進程的特權(quán)，從而授權(quán)用戶不允許的操作。

這種類型的缺陷，也稱為“零時差”，發(fā)生在黑客在操作系統(tǒng)發(fā)布之前就可以訪問其開發(fā)過程，并借此機會插入可以在未來的虛擬犯罪中利用的惡意代碼時。

在這種情況下，卡巴斯基駐巴西的高級安全分析師Fabio Assolini解釋了受漏洞影響的系統(tǒng)可能遭受的某些風險。

Assolini詳細介紹說，盡管蘋果采取了保護措施，但仍然存在威脅系統(tǒng)隱私的威脅：“存在一種有效的感染方法，即所謂的“按下載下載”攻擊。目標只需要訪問準備有漏洞的網(wǎng)頁，該漏洞將利用操作系統(tǒng)中的漏洞來進行入侵。

他補充說，該問題是一個嚴重的缺陷，因為它正在處理一個漏洞，因此可以完全入侵該系統(tǒng)。在這種情況下，網(wǎng)絡(luò)罪犯可以訪問所有用戶的個人數(shù)據(jù)，包括具有端到端加密的通訊程序，位置歷史記錄和電子郵件。Assolini對此案持肯定態(tài)度：“修復漏洞是抵抗攻擊的最佳方法。”

責任編輯：lq