产品咨询:4000 258 365
|
申请产品演示
|
产品咨询:4000 258 365
|
申请产品演示
|
前言
来自移动安全公司zimperium的研究员adam donenfeld公布了ziva内核漏洞利用程序的poc代码。ziva影响ios 10.3.1及之前版本,攻击者能够通过ziva利用代码获取任意读写和根权限。
苹果公司5月份修复漏洞
苹果公司于5月份修复了ziva漏洞利用程序中的8个核心漏洞,其中1个影响iosurface内核扩展,其它7个影响appleave driver内核扩展。
即使苹果公司发布了安全补丁,但仍然要求donenfeld延迟公布这个利用代码以便让用户有更多的时间更新设备。donenfeld在说到研究缘由时表示,他“尝试调查之前未曾被彻底研究过的内核领域”。他的研究最终让他发现了appleave中的问题。他指出,appleave忽略了基本的安全要素,导致利用某些漏洞就能攻破内核并获取任意读写和根权限。
利用代码在github发布
donenfeld将在新加坡举行的hack in the box安全大会上详细说明这八个漏洞的情况。donenfeld所就职的zimperium公司曾发现安卓操作系统中臭名昭著的stagefright漏洞。
2017年2月,zimperium公司曾公布一项名为n-days的计划,旨在购买“用过的”且停止起作用的0day漏洞,并在补丁发布前阻止这些0day漏洞被公开披露。
ziva漏洞利用程序的poc代码可从github下载。下表列出了donenfeld今年年初报告给苹果公司的8个漏洞情况。
原文链接:http://bobao.360.cn/news/detail/4278.html
试用申请
