🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
查看原文
其他

苹果公司将修复可导致获得第三方键盘完全访问权限的 iOS 漏洞

Sergiu Gatlan 代码卫士 2022-04-06
 聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
继发布 iOS 13.1修复 iOS 13 中未打补丁的一系列漏洞外,苹果公司在一份支持文章中表示,发现了影响第三方 iOS 13 iPadOS 键盘扩展的一个问题。
iOS 第三方键盘扩展是或者无需访问任何外部服务权限的完全独立运行的应用程序,或者需要获取网络访问权限具有“完全访问”更多功能权限的应用程序。

无需确认的完全访问权限

TechCrunch 指出,该支持文档指出,“苹果公司在 iOS 13 和iPadOS 中发现了一个 bug,可导致键盘扩展被给予完全的访问权限,即使你并未确认该访问权限也是如此。
虽然苹果公司并未明确提到受该问题影响的 iOS 版本,但可以说,当前发布的所有版本均受影响,因为安全公告中指出,“该问题将在很快在即将发布的软件更新中解决。
另外,苹果指出,“这个问题仅适用于你在 iPhone、iPad 或 iPod tounch 上安装了第三方键盘的情况。”该 bug 并不影响并未使用完整访问权限的内置键盘或第三方键盘。要查看自己的设备中是否安装了第三方键盘扩展,可以打开 Settings app,在 General > Keyboard > Keyboards 中进行查看。

验证码绕过问题等

这并非上个月出现的唯一一个 iOS 问题。就在苹果公司发布 iOS 13的前几天,安全研究员 Jose Rodriguez 发现了一个验证码绕过问题,可导致攻击者查看锁定设备上的通讯录。
二者也并非Rodriguez 公开的首个验证码绕过问题,此前他曾在 iOS 12.0.1和 12.1 中发现并报告了类似问题。
一个月之前,苹果公司不慎引入了在 iOS 12.3 版本中曾修复的 iOS 漏洞问题,使得iOS 安全研究员 Pwn2ownd 开发并发布了 iOS 最新稳定版的越狱版。而该漏洞此前曾被用于创建 iOS 12.2 越狱版。它是一个释放后使用漏洞,编号为 CVE-2019-8605,最初是由谷歌 Project Zero 团队的 Ned Williamson 发现的,并由苹果公司在5月13日修复。
一周之后,苹果公司发布 iOS 12.4.1修复可遭恶意应用滥用的漏洞,它可导致恶意人员“以系统权限执行任意代码”。

推荐阅读

只剩4天了,苹果能赶在 iOS 13 发布前修复这个漏洞吗?

原文链接
https://www.bleepingcomputer.com/news/security/apple-to-fix-ios-bug-granting-full-access-to-3rd-party-keyboards/




题图:Pixabay License



本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存