蘋果釋出iOS 12.1.4,以修補包括FaceTime在內的4個安全漏洞,不過,Google Project Zero團隊負責人Ben Hwakes在Twitter上警告,其中的CVE-2019-7286及CVE-2019-7287兩個安全漏洞已遭到駭客開採。

1月底在網路上瘋傳的FaceTime漏洞,會在對方未接聽FaceTime時就出現對方的聲音及影像,根據蘋果的說明,此一編號為CVE-2019-6223的漏洞,肇因於處理FaceTime群組通話時的邏輯有問題,已藉由改善狀態管理解決。

至於被Hwakes點名的CVE-2019-7286漏洞則是藏匿在Foundation框架中,它是個記憶體毀損漏洞,允許應用程式取得擴張的權限。另一個CVE-2019-7287漏洞存在於IOKit上,它同樣是個記憶體毀損漏洞,允許應用程式以核心權限執行任意程式碼。

Hwakes只說坊間已出現針對這兩個漏洞的攻擊行動,但不管是蘋果或Hwakes都未揭露這兩個漏洞的細節或攻擊手法。

至於蘋果所修補的第四個漏洞為CVE-2019-7288,牽涉到FaceTime中的Live Photos功能,這是由蘋果針對FaceTime服務進行全面性稽核時所發現的漏洞,且蘋果並未說明該漏洞遭到開採的後果,只說是藉由改善FaceTime伺服器的驗證能力來修補漏洞。

iOS 12.1.4支援iPhone 5s及之後的iPhone機種,iPad Air及之後的iPad機種,以及第六代的iPod touch。


Advertisement

更多 iThome相關內容