专栏名称: 云技术实践
关注云计算,云技术,云运维,云存储,存储,分布式,OpenStack,SDN,Ceph,虚拟化,运维,分享在云计算/虚拟化/运维项目实施中的资讯、经验、技术,坚持干货。
目录
相关文章推荐
架构师之路  ·  关于即时通讯架构的一切! ·  昨天  
架构师之路  ·  如何1分钟实现一个分布式锁?(第26讲) ·  3 天前  
美团技术团队  ·  2024年美团机器人研究院学术年会议程公布 ·  4 天前  
架构师之路  ·  手贱删了DB,如何快速恢复?(第24讲) ·  5 天前  
架构师之路  ·  又一篇10W+,但都是骂我的... ·  1 周前  
51好读  ›  专栏  ›  云技术实践

苹果感谢腾讯发现 iOS 漏洞:曝出这个秘密

云技术实践  · 公众号  · 架构  · 2017-10-03 00:00

正文

苹果在GitHub上公布macOS和iOS内核源码

尽管苹果过去声称自己是许多开源项目的重要贡献者,但实际上它的许多技术对外仍处于封闭状态。不过这家库比蒂诺公司日前作出了一个重大的转变,近日,苹果在GitHub上开源了其 iOS 内核 darwin-xnu XNU内核源代码。

GitHub 地址:https://github.com/apple/darwin-xnu


和微软及 Google 这些知名企业一样,苹果也开始积极使用 GitHub 与开发者社区交流。XNU 是 X is Not Unix 的缩写,结合了卡耐基梅隆开发的 Mach 内核 和 FreeBSD 的组件,以及驱动 API IOKit。


10 月 1 日,腾讯安全旗下的微信公众号 " 腾讯安全联合实验室 " 发文称,苹果再次公开致谢,腾讯安全玄武实验室再现漏洞 " 收割 " 技能。

文章称,北京时间 9 月 20 日凌晨,苹果正式发布 iOS 11 操作系统,这一系统相较 iOS 10 迎来多项重大更新,且可以支持自 iPhone 5S 以后的所有机型。在系统升级的同时,苹果公司在官网同步发布了 iOS 11 以及 Safari 11 的安全更新,其中特别强调,苹果已修复了腾讯安全玄武实验室提交的两大安全漏洞,并为此表示感谢。


腾讯安全玄武实验室发现的其中一个漏洞编号为 CVE -2017-7085,具体威胁表现为,在 iOS 11 和 Safari 11 之前的版本中,当用户浏览网络时,可能会因访问恶意网站而导致地址栏被篡改,这将对用户隐私安全带来极大威胁。目前,苹果已通过状态管理的改进解决了用户界面不一致问题,修复了该漏洞。


同时,苹果也对腾讯安全玄武实验室提供的另一个 Webkit 高危漏洞表达额外感谢。

对此,虎嗅电话采访了发现上述漏洞的玄武实验室的研究人员徐少培,他告诉虎嗅,上述两个漏洞是今年 4 月份发现的,后来提交给苹果,但直到 iOS 11 才修复。


苹果更新有自己的周期,并不是说你今天提交它明天或后天就给你修复了。" 苹果通常情况修复一个漏洞需要 2 到 3 个月,或者半年。我之前报(给苹果)的一个漏洞,2 年后才修复。" 徐少培说。


上文提及的两个漏洞属于 URL 欺骗漏洞,或称地址栏欺骗,属于 UI 前端的漏洞,可以让黑客篡改用户当前地址栏中的 URL。比如当用户访问谷歌,假如被黑客修改了后,你访问谷歌的某个链接,虽然你看到的那个页面也写着谷歌,但页面内容其实已经被更改了,如果此时页面上让你输入用户名和密码,用户很可能就会轻易上当、被钓鱼。


根据腾讯安全实验室介绍,腾讯安全玄武实验室就因协助苹果发现漏洞而获得官方致谢,这也是国内少数安全研究团队能够获得的特别认可。


TK 表示,安全技术和解决方案需要软硬件厂商以及信息安全商场共同面对,腾讯安全玄武实验室将通过不断的核心技术攻关,持续帮助厂商提升产品的安全性能,保障广大用户的上网安全。


但据虎嗅了解,苹果更新漏洞特别慢,除非有特别严重、高危的漏洞,苹果才会发新版本更新,否则一般两三个月、半年才更新一次


另外,黑客如果发现了非常重大的漏洞后可能会保留漏洞,而不是提交给苹果。比如在网络战的时候,给你发一个短信,你用苹果的 iMessage 接收的话,你点一下它,它可能就会直接控制你的手机。这种漏洞,黑客发现了基本上也不会报给苹果,这种会用在各国网络战之中。


但也有可能会被苹果截获:" 卧槽,有这么大的 bug!" 这时候苹果就会加班加点推出一个更新版本堵住漏洞。


安全领域的黑客故事,永远比我们看到的精彩。


来源:综合虎嗅网整理


相关阅读:

高端私有云项目交流群,欢迎加入!

苹果在GitHub上公布macOS和iOS内核源码

CCleaner 攻击者至少入侵了 40 台知名科技公司的 PC

欧洲网络新规要求及时通知漏洞,否则将重罚

4000余台ElasticSearch服务器遭PoS恶意软件感染

信用机构Equifax数据库被黑,近半美国人个人信息泄露,面临百亿美元诉讼

云管理平台实践指南

Optimus PB级数据迁移系统

Prometheus(普罗米修斯)用户档案:动态化特性加速weaveworks云原生程序的发展

附PDF下载:《迁移到原生云应用架构》第二部分

推荐文章
架构师之路  ·  关于即时通讯架构的一切!
昨天
美团技术团队  ·  2024年美团机器人研究院学术年会议程公布
4 天前
架构师之路  ·  又一篇10W+,但都是骂我的...
1 周前
ZOL中关村在线  ·  有种爱叫做烫手 2016游戏本横评散热篇
8 年前
中央广电总台中国之声  ·  广东老火靓汤|食物里的年味儿
7 年前
陈安之  ·  这才是世界排名前10位的奢侈品
7 年前