※ 本文轉寄自 ptt.cc 更新時間: 2022-08-20 21:02:11
看板 MobileComm
作者 標題 [新聞] 蘋果緊急修補已被開採的兩個零時差漏洞
時間 Sat Aug 20 09:48:52 2022
※ 引述《plzza0cats (沙花叉クロヱ的狗)》之銘言:
: 最新調查顯示,49%安卓手機使用者考慮改用蘋果iPhone,原因是蘋果手機在安全和隱私保
: 護方面「感覺上更勝一籌」。以特定機種比較,受訪者認為iPhone 13 Pro Max使用起來比
: 三星的Galaxy S22 Ultra更令人安心。
: 據Beyond Identity對約1,000名美國民眾調查,76%蘋果用戶認為蘋果的iOS作業系統愈來愈
: 安全,74%安卓用戶也這麼認為。
: 若是再細分成不同機種用戶,iPhone 13 Pro Max用戶的安全感遠高於Galaxy S22 Ultra用
: 戶。在iPhone 13用戶中,認為目前使用的手機是至今用過最安全手機的比率,是三星用戶
: 的逾兩倍。
1.原文連結:
https://www.ithome.com.tw/news/152559
蘋果緊急修補已被開採的兩個零時差漏洞,波及Mac、iPhone與iPad | iThome
![[圖]]()
蘋果在8月17日釋出iOS 15.6.1、iPadOS 15.6.1以及macOS Monterey 12.5.1,以修補二項已遭開採的越界寫入漏洞 ...
![[圖]](https://s4.itho.me/sites/default/files/field/image/0104-ios_homekit_apple_vulner_1.jpg)
蘋果緊急修補已被開採的兩個零時差漏洞,波及Mac、iPhone與iPad
3.原文來源(媒體/作者):
iThome 文/陳曉莉 2022-08-18
4.原文內容:
蘋果本周三(8/17)緊急修補了兩個安全漏洞CVE-2022-32894與CVE-2022-32893,
它們同時存在於iOS、iPadOS與macOS上,皆為程式執行漏洞,而且都已遭到駭客開採。
它們同時存在於iOS、iPadOS與macOS上,皆為程式執行漏洞,而且都已遭到駭客開採。
其中的CVE-2022-32894存在於Kernel中,屬於越界寫入漏洞,
允許程式以核心權限執行任意程式;至於CVE-2022-32893則藏匿在WebKit中,
同樣為越界寫入漏洞,當WebKit處理惡意的特製網頁內容時,
可能導致任意程式執行。蘋果藉由改善邊界檢查修補了這兩個安全漏洞。
這兩個安全漏洞都是由匿名的研究人員所提報,蘋果並未說明漏洞或攻擊細節,
僅說已得知這兩個漏洞都遭到實際的開採。
蘋果用戶應升級到蘋果於周三釋出的iOS 15.6.1、iPadOS 15.6.1與
macOS Monterey 12.5.1以防患未然。
5.心得/評論:
──────────────────────────────────────
打臉來得又快又急,三天前的農場新聞就被接下來的資安新聞肇逃撞飛,
大家都在警告快點更新修補,因為問題就是這麼糟糕。
平衡打擊,以下擷取片段附加解釋
【資安日報】2022年8月18日,駭客即將突破Android 13安全防護機制、
勒索軟體BlackByte 2.0網站提供新的付費項目
iThome 文/周峻佑 2022-08-18 https://www.ithome.com.tw/news/152569
【資安日報】2022年8月18日,駭客即將突破Android 13安全防護機制、勒索軟體BlackByte 2.0網站提供新的付費項目 | iThome
![[圖]]()
已有駭客針對新推出的Anrdoid作業系統,試圖突破其防護機制,進而部署惡意軟體並進行遠端控制;勒索軟體駭客BlackByte捲土重來並推出新版勒索軟體,但最引起研究人員關注的部分,卻是受害者網站新的脅迫手法 ...
![[圖]](https://s4.itho.me/sites/default/files/field/image/20220818.png)
駭客為了規避Android系統的防護機制,近期使用側載(Side Loading)手段來
執行惡意程式的情況越來越頻繁,對此Google在新版Android 13加入了防堵機制,
執行惡意程式的情況越來越頻繁,對此Google在新版Android 13加入了防堵機制,
但在這套作業系統推出不到一天,就有資安業者提出警告,有駭客已經找到突圍的方法,
很有可能讓上述防護措施無法發揮作用。
駭客組織Hadoken Group正在開發名為BugDrop惡意程式下載器(Dropper),
試圖以多階段安裝惡意軟體元件的做法,模仿從Google Play市集下載的App安裝流程,
突破這種防護措施,進而讓惡意軟體能取得輔助服務(Accessibility Service)的
權限來控制手機。研究人員表示,BugDrop雖然尚在開發階段,但是這種新的部署惡
意軟體手法,將可能會讓Android 13的防護機制失去作用。
權限來控制手機。研究人員表示,BugDrop雖然尚在開發階段,但是這種新的部署惡
意軟體手法,將可能會讓Android 13的防護機制失去作用。
Android 13原生 的新規定,只要不是從Google Play下載App會有部分權限限制,
使用者可以透過點擊被反白的開關,再點右上方選擇賦予權限,並非完全鎖死,
但如果出現這類第三方的惡質下載器,就會讓13的「微」改動直接蒸發掉,
沒有變更危險,因為只是回到之前的情況而已。
講實話資安就是誰的安慰劑比較強,媒體射箭畫靶的新聞應該在M版被禁止。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.32.253.42 (臺灣)
※ 文章代碼(AID): #1Z03s7lP (MobileComm)
※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1660960135.A.BD9.html
推 : 打臉什麼?Android每月都有安全更新,每個月都幾十個安1F 08/20 09:55
→ : 全漏洞在修,這樣列出來不是更嚇人
→ : 全漏洞在修,這樣列出來不是更嚇人
→ : 新聞可以這樣隨意轉又不附標題來源喔3F 08/20 09:58
→ : 資安有點常識的都知道,沒有系統是完美無漏洞的,重點是更4F 08/20 10:00
→ : 新的速度與頻率(遠望現在還一堆Android6~9設備存活著)
→ : 新的速度與頻率(遠望現在還一堆Android6~9設備存活著)
→ : 打臉什麼???6F 08/20 10:03
推 : 所以買google親兒子最有保障7F 08/20 10:04
→ : 打臉農場記者 受眾很敏感我沒有要引戰所以不多講任何話8F 08/20 10:12
→ : 只是該更新就趕快去更新 雖台灣遭遇此重大漏洞的機率很低
※ 編輯: dxzy (114.32.253.42 臺灣), 08/20/2022 10:17:00→ : 只是該更新就趕快去更新 雖台灣遭遇此重大漏洞的機率很低
推 : 在原串崩不夠 還要再發一篇不明所以的文繼續崩 敏感10F 08/20 10:17
→ : 的是你吧
→ : 的是你吧
→ : 說打臉就是打臉,有夠阿Q的12F 08/20 10:22
噓 : ...你爽就好13F 08/20 10:24
→ : 最敏感的人應該是被一篇幾乎年年都要來一次的市調新聞刺14F 08/20 10:25
→ : 激到要特別再去剪取新聞片段來回擊的人。
→ : 激到要特別再去剪取新聞片段來回擊的人。
→ : 民用系統常被發現漏洞,在知悉者保密期限屆至、透露漏洞16F 08/20 10:25
→ : 細節後,仍未透過更新修補漏洞的裝置即存在風險,而這個
→ : 風險可能源自於廠商已停止更新,一般用戶難手動排除
→ : 細節後,仍未透過更新修補漏洞的裝置即存在風險,而這個
→ : 風險可能源自於廠商已停止更新,一般用戶難手動排除
→ : 因為iOS連根毛都沒有我才貼的19F 08/20 10:25
※更正,有一根,我眼殘沒有發現。而且只有一個人在乎是安全更新,而不是在訕笑怒罵性能提升降低沒。iOS日常。
#1Y_IpbzA (iOS)
[情報] iOS / iPadOS 15.6.1 - 看板 iOS - 批踢踢實業坊
iOS / iPadOS 15.6.1 19G82 【情報來源】 原網址:9to5Mac (原始未刪減的網址,未提供者水桶60日)
iOS / iPadOS 15.6.1 19G82 【情報來源】 原網址:9to5Mac (原始未刪減的網址,未提供者水桶60日)
→ : 上面誰覺得不重要你可以不要更 這麼大的洞不是天天會出現20F 08/20 10:28
推 : 最怕安卓資安的 是水果使用者 流出一堆怪東西 都不是卓卓21F 08/20 10:37
→ : 出來的 則辯稱卓卓資料沒人要看
→ : 出來的 則辯稱卓卓資料沒人要看
推 : 一個漏洞就死掉了,不懂資安的才會認為我只有兩個漏洞比一23F 08/20 10:42
→ : 堆漏洞的好太多了。
→ : 堆漏洞的好太多了。
→ : 蘋果持續更新很多代,讓消費者"感覺"有更新等於更安全,25F 08/20 10:45
→ : 這問卷本來就沒說哪個安全,是問消費者的"感覺"
※ 編輯: dxzy (114.32.253.42 臺灣), 08/20/2022 10:58:33→ : 這問卷本來就沒說哪個安全,是問消費者的"感覺"
噓 : 我實在覺得,連基本安全更新都做不太紮實的安卓,有什麼先27F 08/20 10:54
→ : 管好自己就好
→ : 管好自己就好
→ : 久仰920大名 你感覺如何確實非常重要 其他媒體應該管好安卓29F 08/20 11:01
→ : 就好 不要來發蘋果的新聞 不要管先進國家的事 因為有落後國
→ : 家 發這種新聞絕對是居心叵測 美國CISA你是不是安卓同路人
→ : 我改變主意了 這下你們開心了嗎
→ : 就好 不要來發蘋果的新聞 不要管先進國家的事 因為有落後國
→ : 家 發這種新聞絕對是居心叵測 美國CISA你是不是安卓同路人
→ : 我改變主意了 這下你們開心了嗎
推 : 樓上冷靜33F 08/20 11:04
推 : 改管好自己了 縮了34F 08/20 11:06
推 : 蘋果這種封閉系統還這麼多洞,不過還是管好自己的蘋果就好
推 : 蘋果這種封閉系統還這麼多洞,不過還是管好自己的蘋果就好
推 : 安卓開放式系統?不要說出來被笑,安卓上面的app程式應用36F 08/20 11:12
→ : 還有各中國廠魔改的功能,你找看看有沒有開源
→ : 還有各中國廠魔改的功能,你找看看有沒有開源
→ : 人家就是想彰顯自己一無所知,你不用跟他一般見識。38F 08/20 11:20
→ : 眾所皆知封閉系統有多難搞,還被找出這麼大個洞,很罕見,
→ : 有人想要土法煉鋼舊微軟OS,搞了老半天我不知道完成多少了,
→ : 那才是真魔改,原版稱 魔都 都不為過,真正意義的蓋在沙堆上。
為避免歧意額外補充,破微軟有漏洞不稀奇,因為他們就蓋在漏洞上,→ : 眾所皆知封閉系統有多難搞,還被找出這麼大個洞,很罕見,
→ : 有人想要土法煉鋼舊微軟OS,搞了老半天我不知道完成多少了,
→ : 那才是真魔改,原版稱 魔都 都不為過,真正意義的蓋在沙堆上。
哀鳳就不一樣了,全力為了避免被攻破還是被找到有大坑,這很高難度耶。
推 : 更新速度才是重點沒錯,沒什麼系統是完美的。42F 08/20 11:23
※ 編輯: dxzy (114.32.253.42 臺灣), 08/20/2022 11:26:30推 : 安卓中國廠躲在號稱開源的安卓環境下,寫了一堆閉源東西且43F 08/20 11:27
→ : 有系統的最高權限,這才是真正危險的東西,根本沒人監督
→ : 有系統的最高權限,這才是真正危險的東西,根本沒人監督
→ : win nt閉源很多企業或機構用,戰開源閉源是偽命題45F 08/20 11:34
→ : 所以連環境都閉的 這又是另外一個問題了46F 08/20 11:36
推 : 所以d大現在還是斬釘截鐵覺得開源最安全嗎?47F 08/20 11:39
收到即當機 iOS 出現 iMessage「死亡短信」令 iPhone 強制重啓 - 流動日報
![[圖]]()
Twitter 用戶 Abraham Masri 今天分享一個 iOS 的新 Bug,表示只需要通過 iMessage 發送一個包含連結的短信,即可令 iPhone、Mac 強制關機或是重啓,而此 Bug 更嚴重到用戶收到即會生效,並不用接收者點擊短信內容,相關的連結並不包含木馬,但內置的代碼會令 ...
![[圖]](https://static.newmobilelife.com/wp-content/uploads/2018/01/matthew-2018-01-17-PM5.42.07.png)
→ : 920 強烈建議您 少說兩句 你就不會活著自己找不舒服了52F 08/20 11:46
→ : 沒有人這樣講 是你不適合參與 這樣講得夠明白了嗎
→ : 沒有人這樣講 是你不適合參與 這樣講得夠明白了嗎
推 : 實務上,開源環境+更新不頻繁,這個組合簡直就是資安漏洞54F 08/20 11:47
→ : 最佳溫床,駭客的最愛,唾手可得的公開漏洞資訊搭配門戶大
→ : 開舊系統,不攻這個系統要攻誰
→ : 最佳溫床,駭客的最愛,唾手可得的公開漏洞資訊搭配門戶大
→ : 開舊系統,不攻這個系統要攻誰
→ : 攻你覺得自己超安全所以更新不勤快的哀鳳用戶阿還沒受害調查57F 08/20 11:48
※ 編輯: dxzy (114.32.253.42 臺灣), 08/20/2022 11:48:32→ : 不要太急著上車 不管怎樣我沒資格說實務 你應該也沒有58F 08/20 11:49
推 : 吃飽太閒59F 08/20 12:26
→ : 出更新修漏洞小事,可是更新不要弄到變慢讓人不想更啊60F 08/20 12:30
→ : Intel躺槍61F 08/20 12:34
→ : 果然有蘋果,最安心62F 08/20 12:49
推 : 有安卓 會做事 蘋果什麼的資安問題最大了63F 08/20 12:50
→ : 走開啦66F 08/20 13:30
→ : 只有原文有提到三星 我沒有 不要過來
→ : 只有原文有提到三星 我沒有 不要過來
推 : 自己手賤給權限的能算漏洞嗎?68F 08/20 13:31
推 : 中國廠魔改?雲上貴州蘋果的貴國,36樓你怎麼說69F 08/20 13:39
→ : 是叫石頭哥走對吧 哈哈
→ : 是叫石頭哥走對吧 哈哈
推 : 照某樓講全世界 Server 九成都是 Linux 根本就是走在資安71F 08/20 13:47
→ : 鋼索上
→ : 怎不用 macOS 或 Windows
→ : 鋼索上
→ : 怎不用 macOS 或 Windows
亂七八糟改一改。google大概要等到有更好的計劃,在不讓用戶為了取回便利而走向
root的情況下,暫時用這種半殘措施,減少這種用戶只開一扇窗就被未察覺的入侵,
全拔掉真的很多人會腦殼疼,不拔掉又太期望使用者自律。
※ 編輯: dxzy (114.32.253.42 臺灣), 08/20/2022 13:57:47
→ : 笑死 一看就知道你外行人 去了解一下資安好嗎74F 08/20 14:35
→ : 真的有夠丟臉的 越看越想笑
→ : 真的有夠丟臉的 越看越想笑
![[圖]](https://i4.disp.cc/imgur/WDWrBTOh.jpg)
![[圖]](https://i4.disp.cc/imgur/eAdyYjvh.png)
→ : 其實微軟近年已經和以前大相不同79F 08/20 15:05
→ : 擁抱開源 使用Linux 推進跨平台
→ : 雲端運算這塊和 Amazon 一起屌打 Google 的
→ : 擁抱開源 使用Linux 推進跨平台
→ : 雲端運算這塊和 Amazon 一起屌打 Google 的
→ : 我只在乎他OS一方面吃書一方面又滿地問題82F 08/20 15:06
→ : 哪家雲端服務成天漏洞百出的 上次哪家因為一個BUG當掉我忘了
→ : 用心程度根本不同 我覺得我賭爛他沒毛病
→ : 哪家雲端服務成天漏洞百出的 上次哪家因為一個BUG當掉我忘了
→ : 用心程度根本不同 我覺得我賭爛他沒毛病
推 : 不能這麼賭爛微軟的.會有大批電競高手鍵盤你的.但我認85F 08/20 15:17
→ : 同你
→ : 同你
→ : 沒錯 你說的都對87F 08/20 15:38
推 : 一般人只要更新版本沒災情, 大致上都會更新上去體88F 08/20 15:46
→ : 驗功能, 然後繼續用, 除非他們不會.
→ : 資安則像是用來酸廠家但是實際上大多看使用者習慣.
→ : ((遠目Linux手機.
→ : 驗功能, 然後繼續用, 除非他們不會.
→ : 資安則像是用來酸廠家但是實際上大多看使用者習慣.
→ : ((遠目Linux手機.
→ : 阿 android13被我劃出一個新bug 請不要在分割時把app往下滑92F 08/20 15:52
→ : 導致分割失敗 在多工畫面 一個視窗圖層就卡在上面陰魂不散
→ : 導致分割失敗 在多工畫面 一個視窗圖層就卡在上面陰魂不散
推 : 不管封不封閉,系統被找到漏洞有什麼好驚訝的?94F 08/20 15:58
→ : 原來封閉就不會被找到漏洞喔?
→ : 這樣谷歌還不趕快改成封閉,本來資安就這麼好
→ : 改封閉應該無敵了吧??
→ : 原來封閉就不會被找到漏洞喔?
→ : 這樣谷歌還不趕快改成封閉,本來資安就這麼好
→ : 改封閉應該無敵了吧??
→ : 會更爛 因為他們不會顧等量的人來做 你們也要承擔開發支出98F 08/20 15:59
→ : 整個安卓出發的根本 開源 被毀滅 除了講廢話還有別的可以講
→ : 沒有就去找舊文發洩 不用在那邊硬凹
→ : 如果不是那篇農場文發的時機很差 也沒什麼好講的 這就是日常
→ : 整個安卓出發的根本 開源 被毀滅 除了講廢話還有別的可以講
→ : 沒有就去找舊文發洩 不用在那邊硬凹
→ : 如果不是那篇農場文發的時機很差 也沒什麼好講的 這就是日常
→ : 多工失敗卡住從8就有了102F 08/20 16:06
→ : 這樣啊 我第一次手賤103F 08/20 16:08
推 : 所以你的意思是開放系統比較危險?104F 08/20 16:39
→ : 就跟家裡不裝門很危險,請了保全來顧,因此反而變安全?
→ : 為什麼不把你的門裝好,再請保全????
→ : 就跟家裡不裝門很危險,請了保全來顧,因此反而變安全?
→ : 為什麼不把你的門裝好,再請保全????
→ : 請了 還是會被爆竊 你邏輯還好嗎107F 08/20 16:41
→ : 谷歌資安部門這麼屌的嗎? 這種天才邏輯108F 08/20 16:41
→ : 算了我不管他 等下又劈哩啪啦了109F 08/20 16:41
→ : 這你的邏輯欸,為什麼封閉請的人就要變少,然後不安全110F 08/20 16:42
→ : 蘋果好可憐 因為這篇文看來今年手機銷售是不是堪憂了?111F 08/20 17:23
→ : 這種新聞也不是第一次了 搞得像大秘寶是什麼意思
→ : 這種新聞也不是第一次了 搞得像大秘寶是什麼意思
推 : 封閉的優點就是可以等修好後再公佈出來,營造出所有漏113F 08/20 18:10
→ : 洞都補好,很安全的感覺
→ : 洞都補好,很安全的感覺
噓 : 蘋果品牌行銷不錯啦,但實際上要講有沒有料我看還是算了115F 08/20 18:30
→ : ...
→ : ...
--
※ 看板: MobileComm 文章推薦值: 0 目前人氣: 0 累積人氣: 51
回列表(←)
分享