[新聞] 蘋果緊急修補已被開採的兩個零時差漏洞
※ 引述《plzza0cats (沙花叉クロヱ的狗)》之銘言:
: 最新調查顯示,49%安卓手機使用者考慮改用蘋果iPhone,原因是蘋果手機在安全和隱私保
: 護方面「感覺上更勝一籌」。以特定機種比較,受訪者認為iPhone 13 Pro Max使用起來比
: 三星的Galaxy S22 Ultra更令人安心。
: 據Beyond Identity對約1,000名美國民眾調查,76%蘋果用戶認為蘋果的iOS作業系統愈來愈
: 安全,74%安卓用戶也這麼認為。
: 若是再細分成不同機種用戶,iPhone 13 Pro Max用戶的安全感遠高於Galaxy S22 Ultra用
: 戶。在iPhone 13用戶中,認為目前使用的手機是至今用過最安全手機的比率,是三星用戶
: 的逾兩倍。
1.原文連結:
https://www.ithome.com.tw/news/152559
2.原文標題:
蘋果緊急修補已被開採的兩個零時差漏洞,波及Mac、iPhone與iPad
3.原文來源(媒體/作者):
iThome 文/陳曉莉 2022-08-18
4.原文內容:
蘋果本周三(8/17)緊急修補了兩個安全漏洞CVE-2022-32894與CVE-2022-32893,
它們同時存在於iOS、iPadOS與macOS上,皆為程式執行漏洞,而且都已遭到駭客開採。
其中的CVE-2022-32894存在於Kernel中,屬於越界寫入漏洞,
允許程式以核心權限執行任意程式;至於CVE-2022-32893則藏匿在WebKit中,
同樣為越界寫入漏洞,當WebKit處理惡意的特製網頁內容時,
可能導致任意程式執行。蘋果藉由改善邊界檢查修補了這兩個安全漏洞。
這兩個安全漏洞都是由匿名的研究人員所提報,蘋果並未說明漏洞或攻擊細節,
僅說已得知這兩個漏洞都遭到實際的開採。
蘋果用戶應升級到蘋果於周三釋出的iOS 15.6.1、iPadOS 15.6.1與
macOS Monterey 12.5.1以防患未然。
5.心得/評論:
──────────────────────────────────────
打臉來得又快又急,三天前的農場新聞就被接下來的資安新聞肇逃撞飛,
大家都在警告快點更新修補,因為問題就是這麼糟糕。
平衡打擊,以下擷取片段附加解釋
【資安日報】2022年8月18日,駭客即將突破Android 13安全防護機制、
勒索軟體BlackByte 2.0網站提供新的付費項目
iThome 文/周峻佑 2022-08-18 https://www.ithome.com.tw/news/152569
駭客為了規避Android系統的防護機制,近期使用側載(Side Loading)手段來
執行惡意程式的情況越來越頻繁,對此Google在新版Android 13加入了防堵機制,
但在這套作業系統推出不到一天,就有資安業者提出警告,有駭客已經找到突圍的方法,很有可能讓上述防護措施無法發揮作用。
駭客組織Hadoken Group正在開發名為BugDrop惡意程式下載器(Dropper),
試圖以多階段安裝惡意軟體元件的做法,模仿從Google Play市集下載的App安裝流程,
突破這種防護措施,進而讓惡意軟體能取得輔助服務(Accessibility Service)的
權限來控制手機。研究人員表示,BugDrop雖然尚在開發階段,但是這種新的部署惡
意軟體手法,將可能會讓Android 13的防護機制失去作用。
Android 13原生 的新規定,只要不是從Google Play下載App會有部分權限限制,
使用者可以透過點擊被反白的開關,再點右上方選擇賦予權限,並非完全鎖死,
但如果出現這類第三方的惡質下載器,就會讓13的「微」改動直接蒸發掉,
沒有變更危險,因為只是回到之前的情況而已。
講實話資安就是誰的安慰劑比較強,媒體射箭畫靶的新聞應該在M版被禁止。
--
打臉什麼?Android每月都有安全更新,每個月都幾十個安
全漏洞在修,這樣列出來不是更嚇人
新聞可以這樣隨意轉又不附標題來源喔
資安有點常識的都知道,沒有系統是完美無漏洞的,重點是更
新的速度與頻率(遠望現在還一堆Android6~9設備存活著)
打臉什麼???
所以買google親兒子最有保障
打臉農場記者 受眾很敏感我沒有要引戰所以不多講任何話
只是該更新就趕快去更新 雖台灣遭遇此重大漏洞的機率很低
在原串崩不夠 還要再發一篇不明所以的文繼續崩 敏感
的是你吧
說打臉就是打臉,有夠阿Q的
...你爽就好
最敏感的人應該是被一篇幾乎年年都要來一次的市調新聞刺
激到要特別再去剪取新聞片段來回擊的人。
民用系統常被發現漏洞,在知悉者保密期限屆至、透露漏洞
細節後,仍未透過更新修補漏洞的裝置即存在風險,而這個
風險可能源自於廠商已停止更新,一般用戶難手動排除
因為iOS連根毛都沒有我才貼的
上面誰覺得不重要你可以不要更 這麼大的洞不是天天會出現
最怕安卓資安的 是水果使用者 流出一堆怪東西 都不是卓卓
出來的 則辯稱卓卓資料沒人要看
一個漏洞就死掉了,不懂資安的才會認為我只有兩個漏洞比一
堆漏洞的好太多了。
蘋果持續更新很多代,讓消費者"感覺"有更新等於更安全,
這問卷本來就沒說哪個安全,是問消費者的"感覺"
我實在覺得,連基本安全更新都做不太紮實的安卓,有什麼先
管好自己就好
久仰920大名 你感覺如何確實非常重要 其他媒體應該管好安卓
就好 不要來發蘋果的新聞 不要管先進國家的事 因為有落後國
家 發這種新聞絕對是居心叵測 美國CISA你是不是安卓同路人
我改變主意了 這下你們開心了嗎
樓上冷靜
改管好自己了 縮了
蘋果這種封閉系統還這麼多洞,不過還是管好自己的蘋果就好
安卓開放式系統?不要說出來被笑,安卓上面的app程式應用
還有各中國廠魔改的功能,你找看看有沒有開源
人家就是想彰顯自己一無所知,你不用跟他一般見識。
眾所皆知封閉系統有多難搞,還被找出這麼大個洞,很罕見,
有人想要土法煉鋼舊微軟OS,搞了老半天我不知道完成多少了,
那才是真魔改,原版稱 魔都 都不為過,真正意義的蓋在沙堆上。
更新速度才是重點沒錯,沒什麼系統是完美的。
安卓中國廠躲在號稱開源的安卓環境下,寫了一堆閉源東西且
有系統的最高權限,這才是真正危險的東西,根本沒人監督
win nt閉源很多企業或機構用,戰開源閉源是偽命題
所以連環境都閉的 這又是另外一個問題了
所以d大現在還是斬釘截鐵覺得開源最安全嗎?
安卓開源的可以讓公眾抓漏,ios封閉的就是沒有被陽光
照到
所以ios漏洞被抓到都很嚴重
920 強烈建議您 少說兩句 你就不會活著自己找不舒服了
沒有人這樣講 是你不適合參與 這樣講得夠明白了嗎
實務上,開源環境+更新不頻繁,這個組合簡直就是資安漏洞
最佳溫床,駭客的最愛,唾手可得的公開漏洞資訊搭配門戶大
開舊系統,不攻這個系統要攻誰
攻你覺得自己超安全所以更新不勤快的哀鳳用戶阿還沒受害調查
不要太急著上車 不管怎樣我沒資格說實務 你應該也沒有
吃飽太閒
出更新修漏洞小事,可是更新不要弄到變慢讓人不想更啊
Intel躺槍
果然有蘋果,最安心
有安卓 會做事 蘋果什麼的資安問題最大了
三星有寫每個月都修了什麼漏洞
走開啦
只有原文有提到三星 我沒有 不要過來
自己手賤給權限的能算漏洞嗎?
中國廠魔改?雲上貴州蘋果的貴國,36樓你怎麼說
是叫石頭哥走對吧 哈哈
照某樓講全世界 Server 九成都是 Linux 根本就是走在資安
鋼索上
怎不用 macOS 或 Windows
笑死 一看就知道你外行人 去了解一下資安好嗎
真的有夠丟臉的 越看越想笑
微軟臭了嗎?一定要酸一下微軟?
其實微軟近年已經和以前大相不同
擁抱開源 使用Linux 推進跨平台
雲端運算這塊和 Amazon 一起屌打 Google 的
我只在乎他OS一方面吃書一方面又滿地問題
哪家雲端服務成天漏洞百出的 上次哪家因為一個BUG當掉我忘了
用心程度根本不同 我覺得我賭爛他沒毛病
不能這麼賭爛微軟的.會有大批電競高手鍵盤你的.但我認
同你
沒錯 你說的都對
一般人只要更新版本沒災情, 大致上都會更新上去體
驗功能, 然後繼續用, 除非他們不會.
資安則像是用來酸廠家但是實際上大多看使用者習慣.
((遠目Linux手機.
阿 android13被我劃出一個新bug 請不要在分割時把app往下滑
導致分割失敗 在多工畫面 一個視窗圖層就卡在上面陰魂不散
不管封不封閉,系統被找到漏洞有什麼好驚訝的?
原來封閉就不會被找到漏洞喔?
這樣谷歌還不趕快改成封閉,本來資安就這麼好
改封閉應該無敵了吧??
會更爛 因為他們不會顧等量的人來做 你們也要承擔開發支出
整個安卓出發的根本 開源 被毀滅 除了講廢話還有別的可以講
沒有就去找舊文發洩 不用在那邊硬凹
如果不是那篇農場文發的時機很差 也沒什麼好講的 這就是日常
多工失敗卡住從8就有了
這樣啊 我第一次手賤
所以你的意思是開放系統比較危險?
就跟家裡不裝門很危險,請了保全來顧,因此反而變安全?
為什麼不把你的門裝好,再請保全????
請了 還是會被爆竊 你邏輯還好嗎
谷歌資安部門這麼屌的嗎? 這種天才邏輯
算了我不管他 等下又劈哩啪啦了
這你的邏輯欸,為什麼封閉請的人就要變少,然後不安全
蘋果好可憐 因為這篇文看來今年手機銷售是不是堪憂了?
這種新聞也不是第一次了 搞得像大秘寶是什麼意思
封閉的優點就是可以等修好後再公佈出來,營造出所有漏
洞都補好,很安全的感覺
蘋果品牌行銷不錯啦,但實際上要講有沒有料我看還是算了
...
某些人真是護主心切啊
蘋果調較最好的果然還是用戶 嘻嘻
67
[情報] iOS / iPadOS 15.6.1iOS / iPadOS 15.6.1 19G82 【情報來源】 原網址:9to5Mac (原始未刪減的網址,未提供者水桶60日)45
[心得] 免Root去Google化,打造開源手機不Root不刷機,完整的去Google化,打造開源、安全、隱私的Android手機 把Android手機的Google服務拔光光。 網誌好讀版: 本文參考自Reddit r/degoogle板的貼文 (這專板各種反Google): 100% FOSS Smartphone Hardening non-root Guide 4.031
[討論] 英國政府調查蘋果壟斷瀏覽器英國競爭及市場管理局(The Competition and Markets Authority ,CMA) 最近調查了 行動市場生態,包含雲端遊戲、應用程式商店、行動瀏覽器議題。 CMA調查報告全文: 該報告分好幾份文件。簡易結論:Google和Apple透過系統和瀏覽器綁住使用者,甚至扼殺 創新。Google的限制比Apple的要少一點,但仍有很強的控制力。21
[情報] AMD 處理器也未逃過 Spectre V2 漏洞威脅AMD 處理器也未逃過 Spectre V2 漏洞威脅,當前處理方式將使性能下降 54% 2022.03.14 Chevelle.fu Spectre 漏洞是一種藉由當代 CPU 加入分支預測功能的漏洞問題,首次爆發漏洞20
[情報] AMD Zen系列架構處理器受到SQUIP漏洞影響連結: 內文: 近期安全人員發現了一個名為“SQUIP”的漏洞,將威脅到AMD Zen系列架構處理器的使用 安全,甚至還可能波及蘋果M1系列芯片。除了個別特殊的型號外,基本上這些處理器都會19
[情報] 「ÆPIC Leak」漏洞來襲!支援 SGX 安全「ÆPIC Leak」漏洞來襲!支援 SGX 安全功能的英特爾 CPU 會洩密 作者 Evan | 發布日期 2022 年 08 月 12 日 8:30 羅馬第一大學(Sapienza University of Rome)、奧地利格拉茲科技大學(Graz University of Technology)、亞馬遜 AWS 及 CISPA 亥姆霍茲資訊安全中心(Helmholtz Center for Information Security)資料學家組成的團隊,在英特爾新 CPU 發現架構性錯誤,有可能被利用洩露 Intel SGX(Software Guard Extensions)硬體式記憶體加密功能安全區(Enclave)資料,如加密私鑰。 這架構性錯誤會對本地端高階可程式中斷控制器(Advanced Programmable Interrupt Controller,APIC)的記憶體對映暫存器造成影響,所以團隊稱之為「ÆPIC Leak」漏洞。至於 APIC 控制器扮演協助 CPU 處理不同來源中斷請求,以促進多重處理(Multiprocessing)作業的角色。 史上第一個架構性 CPU 缺陷9
[情報] Realtek晶片爆零點擊RCE漏洞,影響20款設Realtek晶片爆零點擊RCE漏洞,影響20款設備品牌 文/林妍溱 | 2022-08-15發表 瑞昱半導體(Realtek)推出的晶片一項軟體元件被發現有安全漏洞,可讓駭客在使用其軟體的路由器上遠端執行程式碼,至少有20多項品牌受到影響。 這項漏洞是由安全廠商Faraday研究人員Octavio Gianatiempo發現並通報,同時在安全大會Def Con公布。編號CVE-2022-27255漏洞位於瑞昱提供給其他路由器、AP或放大器廠商的系統單晶片(SOC)的eCOS SDK上,可造成網路設備的SIP ALG模組發生緩衝溢位情形。 SIP ALG是使網路封包由公有網路進入私有網路的NAT穿透技術。在此過程中路由器的SIP ALG模組會呼叫strcpy函式將SIP封包內容複製到預先定義的固定緩衝。最新漏洞主因出在廠商對這網路功能安全實作不當,使網路設備的緩衝對複製內容的長度檢查不足。駭客可以改造SIP封包內的SDP資料引數或SIP標頭,利用WAN介面傳送到路由器開採漏洞。成功的開採可造成緩衝溢位,引發裝置崩潰或遠端程式碼執行。8
[情報] Synology警告嚴重安全性漏洞 快升DSM 7.1Synology近日警告使用者他們的NAS將遇到多個Netatalk漏洞的攻擊: "多個漏洞允許遠端攻擊者取得敏感訊息,且容易透過舊版DSM或SRM來進行攻擊,執行任意 程式碼。"4
[情報] 研究人員再掀Spectre推測執行漏洞標題:研究人員再掀Spectre推測執行漏洞,波及英特爾及Arm處理器 連結: 內文: 阿姆斯特丹自由大學VUSec實驗室發表一篇研究,揭露他們如何找到英特爾及Arm當初修補CPU推測執行漏洞Spectre的未竟之處,成功開採其中最危險的Spectre變種(Spectre v2,CVE-2017-5715) 阿姆斯特丹自由大學(Vrije Universiteit Amsterdam)的漏洞安全實驗室VUSec本周發表一篇研究報告,指出在2018年曝光的CPU推測執行漏洞Spectre並沒有修補完全,使得該實驗室依然可透過其它管道開採其中的CVE-2017-5715漏洞,進而推測核心記憶體中的機密資訊。
32
[問題] Sony 1VI替代 高規螢幕 耳機孔+SD卡17
[問題] 影音平板推薦9
[購機] 15K能買到效能規格最好的手機8
[情報] 「尋找我的裝置」三天內要上線了!5
[問題] 原亞太突然無法接聽和打電話?4
Re: [討論] 一樣是三星螢幕iphone卻沒啥綠線災情?4
[心得] realme 10 pro 簡單心得33
[討論] 低配M4 IPad Pro 用軟體閹割了4G ram3
[討論] 旅遊 手機腳架求推薦9
[購機] 前旗艦選擇X
[情報] S23 Ultra 5月份更新16
[閒聊] 充電器統一規格前 是什麼樣的世界?