超级军网苹果系统现严重漏洞 恶意程序可盗取用户密码
来源:百度文库 编辑:超级军网 时间:2024/04/28 09:15:39
2015-06-18 08:57:00 来源:新浪科技 责任编辑:shiwei
核心提示:这篇论文共阐述了4大漏洞,其中3个是OS X独有的,另外一个属于iOS。
新浪科技讯 北京时间6月18日早间消息,安全研究人员在OS X和iOS中发现的重大漏洞可能给恶意软件敞开大门,导致用户的密码被盗。
恶意应用可以借助这些漏洞进入App Store,以便绕过或忽略沙箱及其他安全保护措施,从其他应用的钥链中获取密码,窃取其他应用的隐私数据,劫持网络端口,并假扮不同的应用拦截某些对话。研究人员已经通过这些漏洞获取了Evernote中的私密笔记,以及微信中保存的照片。
苹果对iOS和OS X App Store的评估流程原本可以阻止恶意软件进入其系统。但如果这一壁垒失败,该公司就需要依靠沙箱,这种技术可以阻止应用访问不归其管理的数据——除非通过特殊渠道。
然而,有6位研究人员发现苹果的这一过程存在很多弱点,他们将其称作“未授权的跨应用资源获取”,简称XARA。
该团队的成员之一、印第安纳大学计算机科学教授王晓峰(音译)接受采访时说:“OS X提供了丰富的功能,所以很容易受到攻击。”
研究人员表示,他们曾在2014年10月通知苹果,此后又两次将此事告知苹果,苹果当时表示需要6个月时间来修复漏洞。研究人员还称,苹果曾在今年2月向其索取论文。由于可以立刻借此部署恶意软件,因此这一漏洞被视作“零日漏洞”。
由于恶意软件必须首先进入App Store,因此可以最大限度地降低攻击强度。但不幸的是,研究人员已经能够提交破解这些漏洞的恶意应用,并且获得了苹果的许可。不过,由于这只是一次“概念验证”,因此他们在获得许可后立刻删除了该应用。
这篇论文共阐述了4大漏洞,其中3个是OS X独有的,另外一个属于iOS。(书聿)
【延伸阅读】苹果和谷歌设备被爆出“奇异攻击”漏洞
腾讯科技讯 据安全业界的研究员称,苹果和谷歌(微博)的移动设备都存在一种名为“奇异攻击”(FREAK attack)的安全漏洞,用户们在使用这些移动设备上网时,有可能受到黑客的攻击。
研究员们本周已向苹果和谷歌报告了这一漏洞,他们说这主要是因为一项已被启用多年的旧政府政策造成的。以前,美国政府要求美国软件厂商在销往海外市场的软件中使用相对更差一些的安全加密技术。
目前尚无证据表明黑客已经开始利用这种漏洞发动攻击,但苹果和谷歌均已开始着手修复这个漏洞。
在某些情况下,很多热门网站和部分网络浏览器仍然会接受安全性较差的软件,这就会给黑客留下可乘之机。加密技术原本是为了防止访客在向网站输入敏感信息时被第三方监听,如果加密技术的安全性降低,黑客就更容易破解加密并窃取访客资料。
苹果和谷歌表示,他们将发布软件升级来修复该漏洞。(林靖东)
(2015-03-05 00:56:12)
【延伸阅读】谷歌安全团队公布苹果OS X系统三个高危漏洞
新浪科技讯 北京时间1月24日早间消息,Project Zero安全团队本周发现,公司OS X操作系统中存在三个高危漏洞尚未修复。
该团队称,虽然每个漏洞都需要黑客侵入一台目标Mac才能利用,但都会令黑客成功提升特权等级并接管目标Mac。
跟此前公布系统漏洞时一样,Project Zero团队对这三个高危漏洞都给出了概念验证的成功入侵案例。这些漏洞都已在去年10月反馈给苹果公司,但至今尚未得到修复。在发现漏洞90天后,该团队就会面向工作自动公布漏洞的细节。谷歌在2014年中期正式建立了Project Zero团队,该团队研究人员的任务就是发现任何可能导致用户电脑遭遇攻击的软件漏洞。
苹果公司在其官方网站的产品安全页面上写道:“为了保护消费者,苹果公司不会披露、谈论或确认安全问题,直到已进行全面调查并且发布了任何必要补丁时为止。”
这并非Project Zero团队首次公布尚未被修复的漏洞细节。过去几周时间里,该团队已经公布了有关三个未被修复的Windows系统安全漏洞的细节信息。(唐风)
(2015-01-24 06:56:03)
http://www.cankaoxiaoxi.com/science/20150618/822343.shtml
2015-06-18 08:57:00 来源:新浪科技 责任编辑:shiwei
核心提示:这篇论文共阐述了4大漏洞,其中3个是OS X独有的,另外一个属于iOS。
新浪科技讯 北京时间6月18日早间消息,安全研究人员在OS X和iOS中发现的重大漏洞可能给恶意软件敞开大门,导致用户的密码被盗。
恶意应用可以借助这些漏洞进入App Store,以便绕过或忽略沙箱及其他安全保护措施,从其他应用的钥链中获取密码,窃取其他应用的隐私数据,劫持网络端口,并假扮不同的应用拦截某些对话。研究人员已经通过这些漏洞获取了Evernote中的私密笔记,以及微信中保存的照片。
苹果对iOS和OS X App Store的评估流程原本可以阻止恶意软件进入其系统。但如果这一壁垒失败,该公司就需要依靠沙箱,这种技术可以阻止应用访问不归其管理的数据——除非通过特殊渠道。
然而,有6位研究人员发现苹果的这一过程存在很多弱点,他们将其称作“未授权的跨应用资源获取”,简称XARA。
该团队的成员之一、印第安纳大学计算机科学教授王晓峰(音译)接受采访时说:“OS X提供了丰富的功能,所以很容易受到攻击。”
研究人员表示,他们曾在2014年10月通知苹果,此后又两次将此事告知苹果,苹果当时表示需要6个月时间来修复漏洞。研究人员还称,苹果曾在今年2月向其索取论文。由于可以立刻借此部署恶意软件,因此这一漏洞被视作“零日漏洞”。
由于恶意软件必须首先进入App Store,因此可以最大限度地降低攻击强度。但不幸的是,研究人员已经能够提交破解这些漏洞的恶意应用,并且获得了苹果的许可。不过,由于这只是一次“概念验证”,因此他们在获得许可后立刻删除了该应用。
这篇论文共阐述了4大漏洞,其中3个是OS X独有的,另外一个属于iOS。(书聿)
【延伸阅读】苹果和谷歌设备被爆出“奇异攻击”漏洞
腾讯科技讯 据安全业界的研究员称,苹果和谷歌(微博)的移动设备都存在一种名为“奇异攻击”(FREAK attack)的安全漏洞,用户们在使用这些移动设备上网时,有可能受到黑客的攻击。
研究员们本周已向苹果和谷歌报告了这一漏洞,他们说这主要是因为一项已被启用多年的旧政府政策造成的。以前,美国政府要求美国软件厂商在销往海外市场的软件中使用相对更差一些的安全加密技术。
目前尚无证据表明黑客已经开始利用这种漏洞发动攻击,但苹果和谷歌均已开始着手修复这个漏洞。
在某些情况下,很多热门网站和部分网络浏览器仍然会接受安全性较差的软件,这就会给黑客留下可乘之机。加密技术原本是为了防止访客在向网站输入敏感信息时被第三方监听,如果加密技术的安全性降低,黑客就更容易破解加密并窃取访客资料。
苹果和谷歌表示,他们将发布软件升级来修复该漏洞。(林靖东)
(2015-03-05 00:56:12)
【延伸阅读】谷歌安全团队公布苹果OS X系统三个高危漏洞
新浪科技讯 北京时间1月24日早间消息,Project Zero安全团队本周发现,公司OS X操作系统中存在三个高危漏洞尚未修复。
该团队称,虽然每个漏洞都需要黑客侵入一台目标Mac才能利用,但都会令黑客成功提升特权等级并接管目标Mac。
跟此前公布系统漏洞时一样,Project Zero团队对这三个高危漏洞都给出了概念验证的成功入侵案例。这些漏洞都已在去年10月反馈给苹果公司,但至今尚未得到修复。在发现漏洞90天后,该团队就会面向工作自动公布漏洞的细节。谷歌在2014年中期正式建立了Project Zero团队,该团队研究人员的任务就是发现任何可能导致用户电脑遭遇攻击的软件漏洞。
苹果公司在其官方网站的产品安全页面上写道:“为了保护消费者,苹果公司不会披露、谈论或确认安全问题,直到已进行全面调查并且发布了任何必要补丁时为止。”
这并非Project Zero团队首次公布尚未被修复的漏洞细节。过去几周时间里,该团队已经公布了有关三个未被修复的Windows系统安全漏洞的细节信息。(唐风)
(2015-01-24 06:56:03)
http://www.cankaoxiaoxi.com/science/20150618/822343.shtml
核心提示:这篇论文共阐述了4大漏洞,其中3个是OS X独有的,另外一个属于iOS。
新浪科技讯 北京时间6月18日早间消息,安全研究人员在OS X和iOS中发现的重大漏洞可能给恶意软件敞开大门,导致用户的密码被盗。
恶意应用可以借助这些漏洞进入App Store,以便绕过或忽略沙箱及其他安全保护措施,从其他应用的钥链中获取密码,窃取其他应用的隐私数据,劫持网络端口,并假扮不同的应用拦截某些对话。研究人员已经通过这些漏洞获取了Evernote中的私密笔记,以及微信中保存的照片。
苹果对iOS和OS X App Store的评估流程原本可以阻止恶意软件进入其系统。但如果这一壁垒失败,该公司就需要依靠沙箱,这种技术可以阻止应用访问不归其管理的数据——除非通过特殊渠道。
然而,有6位研究人员发现苹果的这一过程存在很多弱点,他们将其称作“未授权的跨应用资源获取”,简称XARA。
该团队的成员之一、印第安纳大学计算机科学教授王晓峰(音译)接受采访时说:“OS X提供了丰富的功能,所以很容易受到攻击。”
研究人员表示,他们曾在2014年10月通知苹果,此后又两次将此事告知苹果,苹果当时表示需要6个月时间来修复漏洞。研究人员还称,苹果曾在今年2月向其索取论文。由于可以立刻借此部署恶意软件,因此这一漏洞被视作“零日漏洞”。
由于恶意软件必须首先进入App Store,因此可以最大限度地降低攻击强度。但不幸的是,研究人员已经能够提交破解这些漏洞的恶意应用,并且获得了苹果的许可。不过,由于这只是一次“概念验证”,因此他们在获得许可后立刻删除了该应用。
这篇论文共阐述了4大漏洞,其中3个是OS X独有的,另外一个属于iOS。(书聿)
【延伸阅读】苹果和谷歌设备被爆出“奇异攻击”漏洞
腾讯科技讯 据安全业界的研究员称,苹果和谷歌(微博)的移动设备都存在一种名为“奇异攻击”(FREAK attack)的安全漏洞,用户们在使用这些移动设备上网时,有可能受到黑客的攻击。
研究员们本周已向苹果和谷歌报告了这一漏洞,他们说这主要是因为一项已被启用多年的旧政府政策造成的。以前,美国政府要求美国软件厂商在销往海外市场的软件中使用相对更差一些的安全加密技术。
目前尚无证据表明黑客已经开始利用这种漏洞发动攻击,但苹果和谷歌均已开始着手修复这个漏洞。
在某些情况下,很多热门网站和部分网络浏览器仍然会接受安全性较差的软件,这就会给黑客留下可乘之机。加密技术原本是为了防止访客在向网站输入敏感信息时被第三方监听,如果加密技术的安全性降低,黑客就更容易破解加密并窃取访客资料。
苹果和谷歌表示,他们将发布软件升级来修复该漏洞。(林靖东)
(2015-03-05 00:56:12)
【延伸阅读】谷歌安全团队公布苹果OS X系统三个高危漏洞
新浪科技讯 北京时间1月24日早间消息,Project Zero安全团队本周发现,公司OS X操作系统中存在三个高危漏洞尚未修复。
该团队称,虽然每个漏洞都需要黑客侵入一台目标Mac才能利用,但都会令黑客成功提升特权等级并接管目标Mac。
跟此前公布系统漏洞时一样,Project Zero团队对这三个高危漏洞都给出了概念验证的成功入侵案例。这些漏洞都已在去年10月反馈给苹果公司,但至今尚未得到修复。在发现漏洞90天后,该团队就会面向工作自动公布漏洞的细节。谷歌在2014年中期正式建立了Project Zero团队,该团队研究人员的任务就是发现任何可能导致用户电脑遭遇攻击的软件漏洞。
苹果公司在其官方网站的产品安全页面上写道:“为了保护消费者,苹果公司不会披露、谈论或确认安全问题,直到已进行全面调查并且发布了任何必要补丁时为止。”
这并非Project Zero团队首次公布尚未被修复的漏洞细节。过去几周时间里,该团队已经公布了有关三个未被修复的Windows系统安全漏洞的细节信息。(唐风)
(2015-01-24 06:56:03)
http://www.cankaoxiaoxi.com/science/20150618/822343.shtml
2015-06-18 08:57:00 来源:新浪科技 责任编辑:shiwei
核心提示:这篇论文共阐述了4大漏洞,其中3个是OS X独有的,另外一个属于iOS。
新浪科技讯 北京时间6月18日早间消息,安全研究人员在OS X和iOS中发现的重大漏洞可能给恶意软件敞开大门,导致用户的密码被盗。
恶意应用可以借助这些漏洞进入App Store,以便绕过或忽略沙箱及其他安全保护措施,从其他应用的钥链中获取密码,窃取其他应用的隐私数据,劫持网络端口,并假扮不同的应用拦截某些对话。研究人员已经通过这些漏洞获取了Evernote中的私密笔记,以及微信中保存的照片。
苹果对iOS和OS X App Store的评估流程原本可以阻止恶意软件进入其系统。但如果这一壁垒失败,该公司就需要依靠沙箱,这种技术可以阻止应用访问不归其管理的数据——除非通过特殊渠道。
然而,有6位研究人员发现苹果的这一过程存在很多弱点,他们将其称作“未授权的跨应用资源获取”,简称XARA。
该团队的成员之一、印第安纳大学计算机科学教授王晓峰(音译)接受采访时说:“OS X提供了丰富的功能,所以很容易受到攻击。”
研究人员表示,他们曾在2014年10月通知苹果,此后又两次将此事告知苹果,苹果当时表示需要6个月时间来修复漏洞。研究人员还称,苹果曾在今年2月向其索取论文。由于可以立刻借此部署恶意软件,因此这一漏洞被视作“零日漏洞”。
由于恶意软件必须首先进入App Store,因此可以最大限度地降低攻击强度。但不幸的是,研究人员已经能够提交破解这些漏洞的恶意应用,并且获得了苹果的许可。不过,由于这只是一次“概念验证”,因此他们在获得许可后立刻删除了该应用。
这篇论文共阐述了4大漏洞,其中3个是OS X独有的,另外一个属于iOS。(书聿)
【延伸阅读】苹果和谷歌设备被爆出“奇异攻击”漏洞
腾讯科技讯 据安全业界的研究员称,苹果和谷歌(微博)的移动设备都存在一种名为“奇异攻击”(FREAK attack)的安全漏洞,用户们在使用这些移动设备上网时,有可能受到黑客的攻击。
研究员们本周已向苹果和谷歌报告了这一漏洞,他们说这主要是因为一项已被启用多年的旧政府政策造成的。以前,美国政府要求美国软件厂商在销往海外市场的软件中使用相对更差一些的安全加密技术。
目前尚无证据表明黑客已经开始利用这种漏洞发动攻击,但苹果和谷歌均已开始着手修复这个漏洞。
在某些情况下,很多热门网站和部分网络浏览器仍然会接受安全性较差的软件,这就会给黑客留下可乘之机。加密技术原本是为了防止访客在向网站输入敏感信息时被第三方监听,如果加密技术的安全性降低,黑客就更容易破解加密并窃取访客资料。
苹果和谷歌表示,他们将发布软件升级来修复该漏洞。(林靖东)
(2015-03-05 00:56:12)
【延伸阅读】谷歌安全团队公布苹果OS X系统三个高危漏洞
新浪科技讯 北京时间1月24日早间消息,Project Zero安全团队本周发现,公司OS X操作系统中存在三个高危漏洞尚未修复。
该团队称,虽然每个漏洞都需要黑客侵入一台目标Mac才能利用,但都会令黑客成功提升特权等级并接管目标Mac。
跟此前公布系统漏洞时一样,Project Zero团队对这三个高危漏洞都给出了概念验证的成功入侵案例。这些漏洞都已在去年10月反馈给苹果公司,但至今尚未得到修复。在发现漏洞90天后,该团队就会面向工作自动公布漏洞的细节。谷歌在2014年中期正式建立了Project Zero团队,该团队研究人员的任务就是发现任何可能导致用户电脑遭遇攻击的软件漏洞。
苹果公司在其官方网站的产品安全页面上写道:“为了保护消费者,苹果公司不会披露、谈论或确认安全问题,直到已进行全面调查并且发布了任何必要补丁时为止。”
这并非Project Zero团队首次公布尚未被修复的漏洞细节。过去几周时间里,该团队已经公布了有关三个未被修复的Windows系统安全漏洞的细节信息。(唐风)
(2015-01-24 06:56:03)
http://www.cankaoxiaoxi.com/science/20150618/822343.shtml