没有新的iPhone?没有安全的iOS:正在查看一个未修复的iOS漏洞|Joshua。胡
- 苹果继续支持近十年前的设备,如iPhone 6S,并提供最新的安全更新。
- Chrome for iOS和WebKit受到一个CVE漏洞的影响,可以泄露任意文件的内容。
- iPhone 6S上的最新iOS版本仍然受到攻击,意味着使用iPhone 6S访问的网站可以窃取内部系统文件。
- 苹果只会修补旧版本的iOS中可能用于root/jailbreak iPhone或被大规模利用的漏洞。
- 除iOS 17之外的所有版本中都没有修补一个针对iOS蓝牙堆栈的新漏洞。
- 漏洞供应商可能会测试iOS 17中修复的漏洞是否适用于旧版本的iOS。
- 作者没有测试这个漏洞是否适用于旧版本的MacOS,但Safari也可能存在漏洞。
评论
苹果对Safari 4.1安全更新的模糊立场是一个关键失误,需要纠正。浏览器漏洞是一种普遍的安全威胁,而苹果不透明的补丁管理流程大大加剧了这种风险。快速补丁的必要性是公认的,但苹果不愿修复旧操作系统版本中的关键缺陷,如存在700多个漏洞的iPhone 4S,这突出了遗留设备支持不足的令人不安的模式。 苹果不一致的修补方法,偶尔在iPhone 6等不受支持的设备中解决严重的CVE,是不够的。最近于2022年2月发布的WebKit漏洞补丁凸显了广泛妥协的危险。用户仍然不知道哪些版本是安全的,这会破坏信任和安全性。 苹果必须采用一致、透明的补丁管理流程,类似于Firefox的模型,以保持用户信任并确保安全。浏览器的安全性永远不应该是不确定的。
2023-12-28 14:40:28 +0800
苹果的安全补丁策略在警惕越狱威胁的同时,忽略了非越狱漏洞,使旧iOS版本的用户面临潜在的漏洞攻击。iPhone 6S在iOS上的持久漏洞破坏了系统文件,这是这种选择性安全关注的一个明显的样例。正如他们对询问的回应所表明的那样,苹果倾向于主要修补最新的iOS版本,这扩大了使用过时软件的用户的安全鸿沟。 这种疏忽并非没有后果;iOS 17之前版本中未修补的蓝牙堆栈漏洞是一个真实存在的危险。这种差距可能会无意中助长这些被忽视的漏洞的黑市,侵蚀用户信任并损害安全。为了维护其强大安全性的声誉,苹果必须将全面保护扩展到所有受支持的设备,全面确保用户安全。对于苹果来说,纠正这种差异至关重要,这不仅是为了维护用户信任,也是为了加强整个iOS生态系统的完整性。
2023-12-28 14:46:58 +0800