来自 科技 2021-10-02 19:28 的文章

苹果iOS 15.0.1正式版发布,还有3个零日漏洞没有打

10月2日,苹果今日向iPhone和iPad用户推送iOS/iPad dos 15 . 0 . 1更新,内部版本号:(19A348)。
 
IOS 15.0.1正式版修复了一个用Apple Watch解锁的Bug,使得认证后的Apple Watch在用户戴口罩时无法解锁iPhone13/Pro系列。
 
今天的更新还修复了一个可能导致设置App错误显示存储空间已满警报的错误,解决了一个可能导致Apple Watch的Fitness+用户在启用正念冥想时意外开始训练的问题。
 
据Apple Insider报道,苹果最新的iOS 15.0.1更新不包含三个零日漏洞的补丁,这三个漏洞是研究人员几个月前向苹果报告的,并于上周公开披露。
 
 
 
今年9月,安全研究员丹尼斯·托卡列夫(化名illusionofcha0s)声称,苹果忽略了几份与新发现的iOS零日漏洞相关的报告。从3月10日到5月4日,托卡列夫向苹果报告了四个漏洞。虽然iOS 14.7中已经修复了一个问题,但其他三个问题在最新的iOS 15.0.1中仍然有效。
 
托卡列夫承认,持续零日漏洞中存在一个Bug,如果允许用户以某种方式进入应用商店,该漏洞可能会使恶意制作的应用程序读取用户的Apple ID信息。
 
然而,托卡列夫对苹果通过“漏洞奖励计划”报告处理泄密事件感到不舒服。他在9月底写了一篇博文,详细介绍了他与科技巨头团队的互动。据该研究人员称,苹果没有列出它在iOS 14.7中修复的安全问题,也没有在后续的安全页面更新中添加关于该缺陷的信息。
 
苹果看到托卡列夫的博文,再次道歉。该公司表示,截至9月27日,其团队仍在调查其余三个漏洞,但托卡列夫上周根据标准漏洞披露协议披露了这些漏洞。
 
IT之家获悉,本周早些时候,研究员鲍比·劳奇公开披露了一个AirTag漏洞。在此之前,苹果没有回答关于该漏洞的基本问题,也没有回答劳奇是否会因为发现该漏洞而获得奖励。该漏洞允许攻击者插入代码,当设备在丢失模式下被扫描时,该代码可以将好心人重定向到恶意网页。