前几天,在 iOS 中发现了一个漏洞,导致“消息”程序失败,随后“冻结”并重启智能手机。 当您在智能手机上收到一条带有专门设计的 url 链接的消息时,就会发生这种情况。
该漏洞由开发人员 Abraham Masri 发现,并将其命名为“chaiOS”。 该漏洞的实质是“消息”应用程序在发送 url 链接时预加载页面并显示其预览。 Masri 说他创建了一个托管在 GitHub 上的网页,并在其中填充了数十万个字符。 程序员假设程序崩溃是由于尝试预加载一堆不必要的信息造成的,这随后导致操作系统崩溃并导致死机和重启。
从用户报告来看,该漏洞的影响好坏参半。但其中最常见的情况是导致“消息”程序“崩溃”、系统制动、设备完全冻结,有时甚至导致“重新启动”(iOS 重新加载 SpringBoard 软件并使用户返回锁定屏幕)。
开发者在 iPhone X 和 iPhone 5S 上测试了 chaiOS。 然后他报告说,该漏洞影响 iOS 从 10.0 版到 11.2.5 beta 5 版。该漏洞也可能导致“消息”在 macOS 上崩溃,因此 MacBook 用户也应该保护他们的设备。
幸运的是,目前找到有效的 url 副本并不那么容易。 该恶意链接被发布到 GitHub 上并被大量第三方复制后,该网站决定将其删除。 Masri 本人不会再次上传该页面的工作版本。 GitHub 上的预上传仅用于引起注意 Apple.
为了读者的安全,我们发布了一份关于保护 iOS 设备的简短指南:
这类漏洞对于 iPhone 固件来说并不陌生。 这种恶意链接导致该公司的智能手机在 2015 年和 2016 年冻结。 鉴于去年年底该公司进行了大量固件修复 Apple,仍然希望该公司在来年对安全问题更加关注和响应。
Dzherelo: theverge.com
发表评论