苹果App Store和iTunes被曝重大安全漏洞
最近安全专家在苹果公司的App Store和iTunes发票系统中发现了一个重大漏洞。攻击者利用该漏洞可以劫持会话,恶意操控发票。Vulnerability Lab的安全研究员Benjamin Kunz Mejri本周公布其发现的这个漏洞。该重大的注入缺陷是应用程序端输入验证web漏洞。该安全研究员在公告中表示,通过这个漏洞远程攻击者可以向存在缺陷的内容功能和服务模块中注入恶意脚本代码。
Mejri介绍表示攻击者可以利用该漏洞的方式是,更换恶意脚本代码,控制发票模块中的name值。如果该设备是在苹果店内购买的,后端就会利用name值将其编码添加操控条件,从而可以在发票发送给卖家之前生成发票。这样会导致的后果是在苹果发票中有应用程序端脚本代码执行。该漏洞的严重性评级为CVSS 5.8(通用脆弱性评级体系)。
此外网络攻击者还可以通过持续的操作环境与其他苹果应用商店用户的账号互动来控制这个漏洞,不管这些用户是发送方还是接收方都不会影响他们利用这个漏洞。该安全研究员表示,发票是提供给卖家和买家双方的,这会给买家、卖家或者苹果网页管理员/开发者带来很大的风险。
攻击者还能够利用这个漏洞来劫持用户会话,不断发起钓鱼攻击,创建链接到外部资源的持久重定向,操控被影响或相连的服务模块。
Mejri发现该漏洞之后就在6月8日进行了通知和协调,随后便对苹果产品安全小组发出供应商通知,苹果公司在收到通知之后做出了回应和反馈,苹果开发者小组提供了修复漏洞通知之后,Vulnerability Laboratory才于日前公开他们发现的这个漏洞。
本月早些时候,苹果在新版的iOS以及OS X操作系统中对存在的诸多安全漏洞进行了修补。在一份安全公告中,苹果公司表示他们发布的iOS 8.4包含了20多处补丁,对存在的远程代码执行、应用程序终止运行、加密流量拦截等问题进行了修正。
在这些更新中,一处称之为“Logjam”的缺陷得到了解决。这是用在Diffie-Hellman密匙交换算法中的加密漏洞,该技术被广泛用于在互联网协议中共享密匙及创建安全通讯频道。该漏洞使得成千上万采用HTTPS的网站与服务器暴露在流量被盗取与截获的危险中,进而可能遭受中间人攻击。
这些问题中的至少一个会直接影响到Apple Watch。该问题存在于应用的安装环节,恶意应用会利用该漏洞阻止Watch应用启动。
- 01-07东方联盟网培训质量如何?靠谱吗?
- 11-14如果支付宝破产,中国经济会怎么样?
- 11-14刘强东把100亿放在她旗下,而不是章泽天,与妻分家产?
- 11-11聚美优品陈欧:一个网红的衰落史
- 10-17【郭盛华VLOG】短视频是企业未来营销趋势?
- 09-09因传播计算机病毒,广东一“95后”黑客获刑6年半
- 04-21为什么苹果公司没有产生更多的亿万富翁?
- 04-03为什么多数互联网公司CEO都是做技术出身?
- 01-11全球最受赞誉公司揭晓:苹果连续九年第一
- 12-09罗伯特·莫里斯:让黑客真正变黑
- 12-09谁闯入了中国网络?揭秘美国绝密黑客小组TA
- 12-09警示:iOS6 惊现“闪退”BUG
- 11-18LG新能源宣布与Bear Robotics达成合作,成为
- 11-18机构:三季度全球个人智能音频设备市场强势
- 11-18闲鱼:注册用户过6亿 AI技术已应用于闲置交
- 11-18美柚、宝宝树回应“涉黄短信骚扰”:未发现
- 11-01京东七鲜与前置仓完成融合