IT 之傢 10 月 2 日消息,昨天騰訊安全旗下的微信公眾號發文稱,蘋果再次公開致謝,騰訊安全玄武實驗室再現漏洞 " 收割 " 技能。
文章稱,蘋果正式發佈 iOS 11 操作系統,這一系統相較 iOS 10 迎來多項重大更新,且可以支持自 iPhone 5S 以後的所有機型。在系統升級的同時,蘋果公司在官網同步發佈瞭 iOS 11 以及 Safari 11 的安全更新,其中特別強調,蘋果已修復瞭騰訊安全玄武實驗室提交的兩大安全漏洞,並為此表示感謝。
據 IT 之傢瞭解騰訊安全實驗室此次發現的是一個漏洞編號為 CVE -2017-7085,具體威脅表現為,在 iOS 11 和 Safari 11 之前的版本中,當用戶瀏覽網絡時,可能會因訪問惡意網站而導致地址欄被篡改,這將對用戶隱私安全帶來極大威脅。目前,蘋果已通過狀態管理的改進解決瞭用戶界面不一致問題,修復瞭該漏洞。
此漏洞的攻擊原理:這屬於 URL 欺騙漏洞,或稱地址欄欺騙,可以讓黑客篡改用戶當前地址欄中的 URL。比如當用戶訪問 A 網站,假如被黑客修改瞭後,雖然你打開後發現很像 A 網站,但其實這個頁面可能是仿制的,當你輸入用戶名和密碼,你的賬戶就被盜取瞭,其實就是俗稱的釣魚網站。
而蘋果官方也對此事件作出瞭致謝:
其實發現漏洞的組織機構與不在少數,而能獲得蘋果官方致謝的確實不多,據瞭解這是國內少數安全研究團隊能夠獲得的特別認可。