苹果花费时间最长修复的漏洞是个啥?

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介:

image

北京时间1月22日早间消息,苹果近期修复了iOS系统的一个关键漏洞。利用这一漏洞,黑客可以获得网站的无加密身份认证Cookie的读写权限,从而冒充终端用户的身份。

本周二,苹果在发布的iOS 9.2.1版本中修复了这一漏洞。这距离漏洞的发现和报告已有3年时间。这一漏洞也被称作“强制门户”漏洞,最初由互联网安全公司Skycure的艾迪·沙拉巴尼(Adi Sharabani)和亚尔·艾米特(Yair Amit)发现,并于2013年6月报告给苹果。

这一漏洞与iOS系统在强制门户页面处理设备保存的Cookie的方式有关。强制门户很常见,当用户连接免费或付费公共WiFi热点时,常常会看到这样的登录页面。

当用户使用有漏洞的iPhone或iPad,在咖啡店、酒店或机场访问带强制门户的网络时,登录页面会通过未加密的HTTP连接显示网络使用条款。在用户接受条款后,即可正常上网,但嵌入浏览器会将未加密的Cookie分享给Safari浏览器。

根据Skycure的说法,利用这种分享的资源,黑客可以创建自主的虚假强制门户,并将其关联至WiFi网络,从而窃取设备上保存的任何未加密Cookie。

研究人员指出,通过这一漏洞,黑客可以进行伪装攻击、会话固定攻击,以及缓存中毒攻击。

这一漏洞影响了自iPhone 4S和iPad 2之后的所有iOS设备。苹果在iOS 9.2.1中解决了这一漏洞。新版本系统针对强制门户采用了隔离的Cookie存储方式。

Skycure表示,这是苹果有史以来修复一个漏洞所花费的最长时间,但这一补丁相对于普通的漏洞修复更复杂。此外该公司表示,目前尚未接到关于黑客使用这一漏洞展开攻击的报告。

本文转自d1net(转载)

相关文章
8瓶酒一瓶有毒,用人测试。每次测试结果8小时后才会得出,而你只有8个小时的时间。问最少需要(B)人测试?
8瓶酒一瓶有毒,用人测试。每次测试结果8小时后才会得出,而你只有8个小时的时间。问最少需要(B)人测试?
333 0
|
Web App开发 安全 Windows
微软下周将发布10个安全补丁 严重漏洞超过半数
6月5日消息,微软将在下周的补丁星期二发布10个安全补丁,其中包括修复Windows、IE浏览器、Word、Office和Excel等软件中严重安全漏洞的补丁。 据微软周四发布的安全公告称,有6个严重等级的安全漏洞能够让攻击者在用户计算机上远程执行代码。
810 0
|
安全 Windows
微软下周将发布三个补丁 仍有漏洞未修复
3月6日消息,微软下周二将发布三个安全补丁,其中一个将修复Windows操作系统中的一个严重的安全漏洞。 微软称,这三个安全补丁中的一个最严重的补丁修复的那个安全漏洞能够让攻击者利用在运行任何版本的Windows操作系统的受害者的PC上安装恶意软件。
882 0
|
Web App开发 安全 内存技术
|
数据安全/隐私保护
勒索软件的代价:大多数受害者网络下线至少一周
本文讲的是勒索软件的代价:大多数受害者网络下线至少一周,近日,一份报告显示,勒索软件通常只需要几秒钟就能够封锁整个网络,但是绝大多数的企业依然要面临至少一周无法访问重要文件和系统的代价,造成严重的经济和名誉损失。
1174 0