8个IOS系统漏洞被曝光 聚焦移动终端安全
  • 2017.07.24
  • 来源:信安在线
安全事件
摘要: 以色列移动安全公司Zimperium近日公布了8个苹果iOS安全漏洞,利用这些漏洞攻击者可以完全控制iOS设备,而且两个漏洞中都可以被攻击者利用来进行特权升级。
       以色列移动安全公司Zimperium近日公布了8个苹果iOS安全漏洞,利用这些漏洞攻击者可以完全控制iOS设备,而且两个漏洞中都可以被攻击者利用来进行特权升级。

 


       Zimperium表示,利用这些漏洞攻击者可以完全控制iOS设备,从而获得该设备的GPS数据、照片和联系方式等用户信息或进行DoS攻击,研究员Adam Donenfeld是发现这些漏洞的主要贡献者。

       其中一个漏洞编号CVE-2017-6979是在IOSurface内核扩展中找到的。这一“竞争条件”漏洞可允许攻击者绕过IOSurface对象创建的安全性检查。如果遭到利用,这一安全漏洞将允许本地特权提升或拒绝服务。

       剩下的7个漏洞则是在AppleAVEDriver.kext驱动中找到的。
       其中漏洞编号CVE-2017-6989CVE-2017-6995可用于删除内核中任意IOSurface对象的引用计数或发送被内核当做指向有效IOSurface对象的任意内核指针。另外5个漏洞编号CVE-2017-6994、CVE-2017-6996、CVE-2017-6997、CVE-2017-6998 以及 CVE-2017-6999 也均在AppleAVEDriver.kext驱动中找到。所有这些安全漏洞都会导致特权提升、拒绝服务或信息泄露。

       研究人员指出,苹果iOS 10.3.2、tvOS 10.2.1、watchOS 3.2.2之前的版本都会受此影响。苹果已于五月份在iOS 10.3.2中发布了安全补丁,但是使用低版本系统的设备一旦遭遇黑客攻击将无力招架。



 

       几年来,我国在移动互联网方面发展迅猛,无论是智能终端还是配套软件,均处于蓬勃发展的状态,被国内外誉为“弯道超车”。我们享受着移动端带来的越来越多的便捷服务的同时,绝不能忽视其存在的安全隐患。“黑帽”“白帽”都正逐渐将目光转向移动端的破解,未来的移动安全将成为热点话题。

       信安在线目前正在打造聚焦移动网络安全的一体化配套服务。移动安全服务,可以在事前、事中、事后提供相应安全服务。事前检测认证等配套服务,助力降低安全风险,提升产品形象;事中从技术上帮助企业解决相关问题,提供专业建议,将企业以及消费者损失降到最低;事后提供配套相关善后以及优化服务。信安在线致力于减轻消费者以及厂商在安全方面的顾虑及损失。

       目前,信安在线提供行业领先的网络安全服务。通过与国内知名保险公司、保险经纪公司、再保险公司等合作营销网络安全保险产品,通过投保前全面的系统安全“体检”,在依托公安部三所权威的事前审核评估、出险定损评估、技术支撑能力和认定,保险公司的精算定价和产品研发,再保险的风险分担、成本分摊,入驻知名安全厂商的专业服务,及权威公正国家机关的定损认定,全站一体化无缝衔接流程处理,对购买网络安全保险的客户出险进行勒索金的预先索赔及提供及时有效的网络安全应急服务。