前幾天,iOS 中發現了一個漏洞,導致“消息”程序失敗,隨後“凍結”並重新啟動智能手機。 當您在智能手機上收到帶有專門設計的 url 鏈接的消息時,就會發生這種情況。
該漏洞是由開發人員亞伯拉罕馬斯里發現的,他將其命名為“chaiOS”。 該漏洞的本質是“消息”應用程序在發送 url 鏈接時,會預加載頁面並顯示其預覽。 Masri 說他創建了一個託管在 GitHub 上的網頁,並在其中填充了數十萬個字符。 程序員假設程序崩潰是由於嘗試預加載一堆不必要的信息而導致的,這隨後會導致操作系統崩潰並導致凍結和重新啟動。
從用戶報告來看,漏洞的影響好壞參半。但其中最常見的情況是導致「訊息」程式「崩潰」、系統煞車、裝置完全凍結,有時甚至導致「重新啟動」(iOS 重新載入 SpringBoard 軟體並使用戶返回鎖定畫面)。
開發者在 iPhone X 和 iPhone 5S 上測試了 chaiOS。 然後他報告說,該漏洞影響 iOS 從 10.0 版到 11.2.5 beta 5 版。該漏洞也可能導致“消息”在 macOS 上崩潰,因此 MacBook 用戶也應該保護他們的設備。
幸運的是,目前找到有效的 url 副本並不容易。 在惡意鏈接被發佈到 GitHub 並被大量第三方復制後,該網站決定將其刪除。 Masri 本人不會再次上傳該頁面的工作版本。 GitHub 上的預上傳只是為了引起注意 Apple.
為了讀者的安全,我們發布了一份關於保護 iOS 設備的簡短指南:
這類漏洞對 iPhone 固件來說並不新鮮。 此類惡意鏈接導致該公司的智能手機在 2015 年和 2016 年凍結。 鑑於去年年底該公司進行了大量固件修復 Apple,仍然希望公司在來年對安全問題更加關注和響應。
資源: theverge.com
發表評論