首页 > 清静研究 > 清静转达 > 清静通告

谷歌宣布6个重大iOS误差清静通告

宣布时间 2019-07-31

? 误差编号和级别

CVE编号：CVE-2019-8641，，，，，，危险级别：暂无，，，，，，CVSS分值：官方未评定
CVE编号：CVE-2019-8647，，，，，，危险级别：高危，，，，，，CVSS分值：官方未评定
CVE编号：CVE-2019-8660，，，，，，危险级别：中危，，，，，，CVSS分值：官方未评定
CVE编号：CVE-2019-8662，，，，，，危险级别：高危，，，，，，CVSS分值：官方未评定
CVE编号：CVE-2019-8646，，，，，，危险级别：高危，，，，，，CVSS分值：官方未评定
CVE编号：CVE-2019-8624，，，，，，危险级别：中危，，，，，，CVSS分值：官方未评定

? 影响版本

受影响的版本

iOS < 12.4

? 误差概述

谷歌 Project Zero 团队的两名研究员果真了6个“无交互”清静误差中的5个误差的详情和PoC。。。。。。。它们影响iOS操作系统，，，，，，可经由 iMessage 客户端使用。。。。。。。

其中4个误差可导致在远程 iOS 装备上执行恶意代码，，，，，，且无需用户交互。。。。。。。攻击者需要做的就是将恶意信息发送至受害者手机，，，，，，一旦用户翻开并审查收到的项目，，，，，，恶意代码就会执行。。。。。。。这4个误差是CVE-2019-8641（详情未果真）、CVE-2019-8647、CVE-2019-8660 和 CVE-2019-8662。。。。。。。第5个和第6个误差CVE-2019-8624和CVE-2019-8646可导致攻击者泄露装备内存信息并读取远程装备文件，，，，，，且均无需用户交互。。。。。。。

误差信息如下：

CVE-2019-8647

该误差是释放后使用误差，，，，，，保存于iOS的Core Data框架中，，，，，，由于使用NSArray initWithCoder要领时爆发不清静的反序列化，，，，，，因此可导致恣意代码执行的效果。。。。。。。它可经由 iMessage 客户端远程触发。。。。。。。

CVE-2019-8660

它是保存于 Core Data 框架和 Siri 组件中的内存损坏问题，，，，，，如遭使用，，，，，，可导致远程攻击者引发应用程序异常终止或恣意代码执行的效果。。。。。。。

CVE-2019-8662

该误差类似于 CVE-2019-8647，，，，，，保存于 iOS 的 QuickLook 组件中，，，，，，也可经由 iMessage 客户端远程触发。。。。。。。

CVE-2019-8624

该误差保存于 watchOS 的 Digital Touch 组件中，，，，，，影响 Apple Watch Series 1及后续版本。。。。。。。苹果已在本月宣布 watchOS 5.3 解决了该问题。。。。。。。

CVE-2019-8646

该误差也位于 Siri 和 Core Data iOS 组件中，，，，，，可导致攻击者在无需用户交互的情形下远程读取存储在 iOS 上的文件内容，，，，，，例如无沙箱的用户手机。。。。。。。

? 误差验证

POC:

https://bugs.chromium.org/p/project-zero/issues/detail?id=1873
https://bugs.chromium.org/p/project-zero/issues/detail?id=1874
https://bugs.chromium.org/p/project-zero/issues/detail?id=1858
https://bugs.chromium.org/p/project-zero/issues/detail?id=1884

https://bugs.chromium.org/p/project-zero/issues/detail?id=1828

? 修复建议

所有的6个误差已于上周即7月22日在苹果宣布的 iOS 12.4 版本中修复。。。。。。。其中1个误差的详情并未果真，，，，，，由于iOS 12.4版本的补丁并未完全修复该问题。。。。。。。

? 参考链接

https://www.zdnet.com/article/google-researchers-disclose-vulnerabilities-for-interactionless-ios-attacks/

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

万利国际官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系万利国际官网

清静研究

谷歌宣布6个重大iOS误差清静通告

关于万利国际官网

解决计划

清静研究

联系万利国际官网

7*24小时效劳热线