2019-ben az Apple megnyitotta Security Bounty programját a nyilvánosság előtt 1 millió dollárig terjedő kifizetéseket kínál azoknak a kutatóknak, akik kritikus iOS, iPadOS, macOS, tvOS vagy watchOS biztonsági réseket osztanak meg az Apple-lel, beleértve a kiaknázásukra használt technikákat is. A program célja, hogy segítsen az Apple-nek a lehető legnagyobb biztonságban tartani szoftverplatformjait.
Az azóta eltelt idő alatt olyan hírek láttak napvilágot, amelyek erre utalnak egyes biztonsági kutatók elégedetlenek a programmal , és most egy biztonsági kutató, aki az „illusionofchaos” álnevet használja, megosztotta hasonlóan „frusztráló tapasztalatát”.
mennyibe kerül az iphone 12 max pro?
Az a blog bejegyzés kiemelte írta Kosta Eleftheriou A meg nem nevezett biztonsági kutató azt mondta, hogy idén március és május között négy nulladik napi sebezhetőséget jelentettek az Apple-nek, de azt mondták, hogy a sérülékenységek közül három még mindig jelen van az iOS 15-ben, és az egyiket az iOS 14.7-ben javították anélkül, hogy az Apple adott volna nekik. hitel.
Szeretném megosztani az Apple Security Bounty programban való részvételem frusztráló tapasztalatait. Idén négy 0-napos sebezhetőséget jelentettem március 10. és május 4. között, ezek közül jelenleg három még mindig jelen van a legújabb iOS-verzióban (15.0), egyet pedig a 14.7-es verzióban javítottak ki, de az Apple úgy döntött, hogy elfedi és ne sorolja fel a biztonsági tartalom oldalon. Amikor szembesültem velük, elnézést kértek, biztosítottak, hogy feldolgozási probléma miatt történt, és megígérték, hogy a következő frissítés biztonsági tartalmi oldalán feltüntetik. Azóta három kiadás jelent meg, és minden alkalommal megszegték ígéretüket.
A személy elmondta, hogy a múlt héten figyelmeztették az Apple-t, hogy nyilvánosságra hozzák kutatásukat, ha nem kapnak választ. Azt mondták azonban, hogy az Apple figyelmen kívül hagyta a kérést, ami miatt nyilvánosan felfedték a sebezhetőséget.
mennyibe kerül egy airpod vásárlása
Az egyik nulladik napi sebezhetőség a Game Centerrel kapcsolatos, és állítólag lehetővé teszi, hogy az App Store-ból telepített alkalmazások hozzáférjenek bizonyos felhasználói adatokhoz:
- Apple ID e-mail-cím és a hozzá tartozó teljes név
- Apple ID hitelesítési token, amely lehetővé teszi a *.apple.com webhely legalább egyik végpontjának elérését a felhasználó nevében
- Teljes fájlrendszer-olvasási hozzáférés a Core Duet adatbázishoz (a Mailből, SMS-ből, iMessage-ből, harmadik féltől származó üzenetküldő alkalmazások névjegyeinek listáját tartalmazza, valamint metaadatokat a felhasználónak ezekkel a névjegyekkel való interakciójáról (beleértve az időbélyegeket és a statisztikákat), valamint néhány mellékletet (pl. URL-ek és szövegek)
- Teljes fájlrendszer-olvasási hozzáférés a Gyorstárcsázási adatbázishoz és a Címjegyzék adatbázishoz, beleértve a névjegyképeket és egyéb metaadatokat, például a létrehozási és módosítási dátumokat (most ellenőriztem az iOS 15-öt, és ez nem elérhető, így az egyiket a közelmúltban csendesen kijavították )
A másik két nulladik napi sebezhetőséget, amelyek láthatóan még mindig jelen vannak az iOS 15-ben, valamint az iOS 14.7-ben foltozottat, szintén a blogbejegyzés részletezi.
mikor jönnek ki új iphone-nal
Az Apple még nem kommentálta a blogbejegyzést. Frissítjük ezt a történetet, ha a cég válaszol.Kapcsolódó körképek: iOS 15 , iPad 15Kattintson az oldalra, hogy megtekinthesse a Game Center exploitját. ez durva. Az ehhez hasonló dolgoknak szinte soha nem szabad átcsúszniuk egy működő biztonsági programmal. Ehelyett az Apple-nél ez mindennapos. Ez olyan mélyen összetört, de semmi sem változik. Mire lesz szükség? – Marco Arment (@marcoarment) 2021. szeptember 24
Népszerű Bejegyzések