騰訊發現iOS安全漏洞，蘋果公開致謝 https://www.ithome.com/html/it/328473.htm -- IT之家10月2日消息，昨天騰訊安全旗下的微信公眾號發文稱，蘋果再次公開致謝，騰訊安全玄武實驗室再現漏洞“收割”技能。 文章稱，蘋果正式發布iOS 11操作系統，這一系統相較iOS 10迎來多項重大更新，且可以支持自iPhone 5S以後的所有機型。在系統升級的同時，蘋果公司在官網同步發布了iOS 11以及Safari 11的安全更新，其中特別強調，蘋果已修復了騰訊安全玄武實驗室提交的兩大安全漏洞，並為此表示感謝。 據IT之家了解騰訊安全實驗室此次發現的是一個漏洞編號為CVE -2017-7085，具體威脅表現為，在iOS 11和Safari 11之前的版本中，當用戶瀏覽網絡時，可能會因訪問惡意網站而導致地址欄被篡改，這將對用戶隱私安全帶來極大威脅。目前，蘋果已通過狀態管理的改進解決了用戶界面不一致問題，修復了該漏洞。 此漏洞的攻擊原理：這屬於URL欺騙漏洞，或稱地址欄欺騙，可以讓黑客篡改用戶當前地址欄中的URL。比如當用戶訪問A網站，假如被黑客修改了後，雖然你打開後發現很像A網站，但其實這個頁面可能是仿製的，當你輸入用戶名和密碼，你的賬戶就被盜取了，其實就是俗稱的釣魚網站。 https://i.imgur.com/xQtqA14.jpg 而蘋果官方也對此事件作出了致謝： https://i.imgur.com/206bhmV.jpg 其實發現漏洞的組織機構與不在少數，而能獲得蘋果官方致謝的確實不多，據了解這是國內少數安全研究團隊能夠獲得的特別認可。 -- 是的，我內建的iOS雖然大家號稱最安全，但是上大升級之後還是有點小bug，這個bug有點危險啊，因為駭客可以利用這個漏洞做一個假的帳號被凍結的email，放長得跟真的一樣的真的連接上去，再利用漏洞轉到自己的釣魚網站。 還好騰訊沒有像上次美國發現永恆之藍後直接公布於世讓有心人士利用，是直接回報蘋果，蘋果也因此公開表揚了騰訊。 受影響的機種還蠻多的，基本上只要是iOS 11之後的都會有影響，不過這漏洞已經迅速的被解決了。現在看來iOS 11還是很不穩定，想要升級的版友還是再等一下子把，再給蘋果一些時間來幫他們完美的系統抓蟲，嘻嘻。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 42.73.52.118 ※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1506938016.A.3BF.html