昨天腾讯安全旗下的微信公众号发文称,苹果再次公开致谢,腾讯安全玄武实验室再现漏洞“收割”技能。
文章称,苹果正式发布iOS 11操作系统,这一系统相较iOS 10迎来多项重大更新,且可以支持自iPhone 5S以后的所有机型。在系统升级的同时,苹果公司在官网同步发布了iOS 11以及Safari 11的安全更新,其中特别强调,苹果已修复了腾讯安全玄武实验室提交的两大安全漏洞,并为此表示感谢。
据IT之家了解腾讯安全实验室此次发现的是一个漏洞编号为CVE -2017-7085,具体威胁表现为,在iOS 11和Safari 11之前的版本中,当用户浏览网络时,可能会因访问恶意网站而导致地址栏被篡改,这将对用户隐私安全带来极大威胁。目前,苹果已通过状态管理的改进解决了用户界面不一致问题,修复了该漏洞。
此漏洞的攻击原理:这属于URL欺骗漏洞,或称地址栏欺骗,可以让黑客篡改用户当前地址栏中的URL。比如当用户访问A网站,假如被黑客修改了后,虽然你打开后发现很像A网站,但其实这个页面可能是仿制的,当你输入用户名和密码,你的账户就被盗取了,其实就是俗称的钓鱼网站。
而苹果官方也对此事件作出了致谢:
其实发现漏洞的组织机构与不在少数,而能获得苹果官方致谢的确实不多,据了解这是国内少数安全研究团队能够获得的特别认可。
京公网安备 11010502049343号