卡巴斯基今年 6 月发现苹果 iOS 设备中存在 Triangulation 漏洞,该漏洞允许黑客向受害者发送特定 iMessage 文件进行远程代码攻击,不过当时卡巴斯基出于“安全要求”没有公布漏洞细节。
目前卡巴斯基已经正式公开了这项 Triangulation 漏洞的调查报告,IT之家注意到,这项 Triangulation 漏洞主要由 4 项零日漏洞构成:
FontParser 漏洞 CVE-2023-41990
整数溢出漏洞 CVE-2023-32434
内存页面保护功能漏洞 CVE-2023-38606
WebKit 漏洞 CVE-2023-32435
卡巴斯基声称,实际上在 2019 年的 iOS 16.2 中,就有黑客尝试利用 Triangulation 漏洞发起攻击,不过直到今年 6 月卡巴斯基公布相关漏洞后苹果才进行修复,这意味着“黑客团队早已多次利用相关漏洞发起攻击”。
据悉,黑客主要利用 CVE-2023-41990 漏洞发送恶意 iMessage 文件,从而在受害者设备上运行一项使用 JavaScript 编写的“权限获取工具”,之后利用 CVE-2023-32434 漏洞获取内存读写权限,再使用 CVE-2023-38606 漏洞绕过苹果的内存页面保护功能(Page Protection Layer),之后便能完全控制受害者的设备。
在此之后,黑客利用 WebKit 中的 CVE-2023-32435 漏洞清理痕迹,并重复通过先前的漏洞来加载各种恶意程序。
卡巴斯基声称,这是研究团队所见过的“最复杂的攻击链”,黑客巧妙利用了苹果芯片中的硬件机制漏洞,从而成功执行相关攻击,这足以证明即使设备软件拥有所谓各种先进加密保护机制,但若硬件机制中存在漏洞,便容易被黑客入侵。
文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。
5 月 10 日消息,据中兴通讯官微,中兴二合一 5G 云电脑“逍遥”系列已经在电商平台上架。其支持本地、云端双模式,可在电脑与平板模式之间一键切换。售价方面,型号为 W200DS 的产品首销价格为 1899 元。
近日,中国家电及消费电子博览会(AWE 2024)隆重开幕。全球领先的智能终端企业TCL实业携多款创新技术和新品亮相,以敢为精神勇闯技术无人区,斩获四项AWE 2024艾普兰大奖。
“以前都要去窗口办,一套流程下来都要半个月了,现在方便多了!”打开“重庆公积金”微信小程序,按照提示流程提交相关材料,仅几秒钟,重庆市民曾某的账户就打进了21600元。
由世界人工智能大会组委会、上海市经信委、徐汇区政府、临港新片区管委会共同指导,由上海市人工智能行业协会联合上海人工智能实验室、上海临港经济发展(集团)有限公司、开放原子开源基金会主办的“2024全球开发者先锋大会”,将于2024年3月23日至24日举办。