苹果在上周发布了 iOS 12.4，昨天苹果又一次性关闭了 iOS 12.3、12.3.1、12.3.2 三个系统的验证通道，只允许用户升级到 iOS 12.4 上。苹果为什么如此匆忙的关闭旧系统呢？

iOS 12.4 除了加入 Apple Card 等新功能外，还修复了多达 36 个系统高危漏洞。其实在新版 iOS 中修复漏洞是比较正常的事，但这一次 iOS 系统中也有来自 Google Project Zero、Tencent KeenLab 等安全团队提交的漏洞[1]。

其中有 6 个重大漏洞全来自 Google Project Zero 团队成员 Natalie Silvanovich 和 Samuel Groß 所提供，分别为 CVE-2019-8624、CVE-2019-8641、CVE-2019-8646、CVE-2019-8647、CVE-2019-8660 和 CVE-2019-8662 安全漏洞。Natalie Silvanovich 也将在下周的黑帽安全大会上分享漏洞的相关细节，并且现场展示在无需用户互动的情况下远程攻击 iPhone[2]。

Google Project Zero 所发现的其中 5 个漏洞都属于 iMessage 漏洞，根据研究人员表示，其中有 4 个漏洞属于「无交互」安全漏洞。只要攻击者向被攻击者发送包含漏洞的 iMessage 信息，只要用户点击就能马上发起攻击，属于非常严重的漏洞。

也正因为其「无交互」的特点，使该漏洞在黑市上备受关注。根据阿联酋安全漏洞研究公司 Crowdfense 的预估，每个漏洞的售价都在 200 万美元以上，其中最高的一个漏洞售价可能高达 500 万美元，这些漏洞的总价值可能超过 2400 万美元（约合 1.65 亿元人民币）。

其中 CVE-2019-8624、CVE-2019-8646、CVE-2019-8647、CVE-2019-8660 和 CVE-2019-8662 等 5 个漏洞的代码可以在 Google Project Zero 的网站中查询到，而 CVE-2019-8641 的代码仍处于保密状态[3]。

据 Natalie Silvanovich 表示，苹果目前仍未完美的修复 CVE-2019-8641 漏洞，所以他还不能公布漏洞的代码和细节。

目前在 iOS 12.4 中，苹果已经修复了大多数漏洞。对于不打算越狱的用户来说，小乐还是建议升级到 iOS 12.4 上，避免自己的设备暴露在危险之中。

相关文章