前言

研究人员IllusionOfChaos宣称早在2021年上边，便向苹果通告4项危害操作系统的安全性漏洞，但截止到上星期发布的iOS 15.0，苹果只修补了在其中1项漏洞，而且从没谈及漏洞发现人IllusionOfChaos。苹果的让心态让这名研究人员觉得十分心寒，并于上星期发布了4项全新iOS 15的安全性漏洞。

详尽內容

自称IllusionOfChaos的研究人员强调，他在3月到5月间向苹果通告4项漏洞。依据业内的发掘奖励机制，手机软件大型厂除开应在确定漏洞后于有效的时间内修补，而且要在安全性公示公布认可回复漏洞的研究人员的奉献，且给予相对应奖励金。可是，这名研究人员对苹果的心态觉得心寒。在这里4项漏洞中，苹果修补了在其中一项，可是从头至尾沒有在安全性通告中谈及他。更明显的是，另3项漏洞一直未修补，连全新发布的iOS 15都也有这批漏洞。

在其中已修补的漏洞名叫Analyticsd，容许客户安裝的App浏览iPhone或iPad的个人隐私iOS剖析信息。这种剖析信息坐落于“设定”＞“个人隐私”＞“剖析&改进”＞“剖析信息”下，该漏洞则容许App在没有经过允许下径自浏览，但是苹果已在7月间的iOS/iPadOS 14.7最新版本中处理。

实际上在公示中看不见相关漏洞的叙述，由于苹果压根没写出去，自然也未谈及他的名字。苹果在他找上门来基础理论后说这也是解决缺陷，会在下一版升级中补好信息。但是苹果以后持续3次安全补丁，包含9月中的iOS 14.8及上星期的iOS 15.0，自始至终沒有遵守承诺。

此外3项漏洞则一直末见修补，研究人员觉得他早已给苹果够多的时间了，因此决策发布。他说道他等的時间大大高于业内安全性漏洞的沉默期做法，无论是Google的90天或ZDI的120天。

这3项未修补漏洞如下所示：Gamed 0-Day，容许Apple Store免费下载的App非受权浏览Apple ID电子邮件、账号全称、认证凭据、载入Core Duet共享资源联系人数据库查询中的信息、迅速拔号数据库查询、联系人数据库查询等。

Nehelper Enumerated 0-day漏洞可让某一App经过bundle ID，分辨机器设备上组装了哪些别的App。Nehelper Wi-Fi 0-day则让可浏览精准定位信息的App，径自应用Wi-Fi网络。

在其中Gamed 0-Day漏洞比较比较严重。IllusionOfChaos觉得依据苹果的漏洞发掘奖赏规范，这应该是个值10万美金的漏洞。

iOS 15早已修补了在其中可被浏览信息的部份缺陷。但曾为苹果开发设计Apple Watch 电脑键盘App FlickType的研究人员Kosta Eleftheriou则确认，Gamed 0-day漏洞仍危害iOS 14.8及iOS 15。

The Register转述安全性权威专家Patrick Wardle强调，这种漏洞尽管比较严重，但不大可能产生，由于有不合理浏览用意的App，应当会被在发布App Store前被苹果核查发觉。较为大的情况是，这表明苹果很有可能明知道有漏洞，却依然释放了iOS 15。

苹果于周日联络研究人员，对延迟时间回复道歉并谢谢他的奉献，也表示企业已经研究这种漏洞便于处理。

新闻媒体坚信，苹果应当会在近日内释放iOS 15的最新版本。苹果上星期在iOS 15对外开放免费下载几个小时内，即已释放iOS 15.1 beta版处理一些作用缺陷。

微软公司将于2022年10月宣布弃用Exchange Online基本上身份认证智能机器人进攻稳步增长

令人震惊骗术，黑客攻击BTC慈善基金会网址一天内窃取1.7万美金

新的黑客联盟已入侵全球酒店，并可目标跟踪客户

LG 将入股投资非洲车辆网络信息安全新成立公司 Cybellum

美国财政部封禁乌克兰数字货币交易中心，严厉打击勒索病毒进攻

注意了！新式木马病毒已经向金融企业、金融机构启动规模性进攻

数据转型发展或将产生智能机器人进攻稳步增长

注：文中由E安全性编译程序报导。

E安全性新设沟通交流社群营销

按时升级资询，也有主题活动 小礼品可参加，加入我们

协作、入群请加微信好友！