iOS 12.4修补高达36个漏洞，有6个无互动漏洞来自 Google 安全团队

苹果在上周释出iOS12.4，直到今天早上突然紧急关闭旧有iOS版本，主要是这次新版修补了高达36个安全漏洞，其中有6个重大漏洞全来自Google安全团队ProjectZero成员NatalieSilvanovich和SamuelGroß所提供，分别为CVE-2019-8624、CVE-2019-8641、CVE-2019-8646、CVE-2019-8647、CVE-2019-8660和CVE-2019-8662安全修补，Silvanovich也决定会在下周黑帽安全大会上分享其中相关细节，并且现场展示攻击iPhone。

ProjectZero团队所发现到的其中5个漏洞都属于iMessage漏洞，根据研究人员表示，其中有4个漏洞只要攻击者向受害者发送漏洞iMessage信息，只要用户打开后，马上就能够让恶意代码立即执行，也算是非常严重的漏洞，不过大多数都已经在iOS12.4上遭到修补。

这六个漏洞分别为

• CVE-2019-8647（代码）：远端攻击者可能得以执行任意程序码。
• CVE-2019-8660（代码）：远端攻击者可能导致应用程序意外终止或执行任意程序码。
• CVE-2019-8662（代码）：远端攻击者可能得以在应用程序内触发“使用释放后记忆体出错”，使不受信任的NSDictionary被还原序列化。
• CVE-2019-8641（代码保密）：远端攻击者可能导致应用程序意外终止或执行任意程序码。
• CVE-2019-8624（代码）：远端攻击者可能得以洩漏记忆体。
• CVE-2019-8646（代码）：远端攻击者可能得以洩漏记忆体。

其中一个CVE-2019-8641漏洞被称为“无互动”漏洞，则是没有被公布细节，根据Silvanovich透露从苹果报告内确定都还尚未完美真正修补这个漏洞，防止会被人滥用，因此也让她不考虑公布漏洞细节。

根据ZDNet从漏洞交易平台Zerodium价目标上能确认，每个漏洞项目在黑客市场都超值，价格都能超过100万美元，如果在黑市上贩售价格可拉高到500万美元一个。根据阿拉伯联合大公国安全漏洞研究公司Crowdfense预估，这些漏洞是非常有价值，价格预估会在200万到400万美元之间，所以总价值会是在2400万美元。

Google安全团队成员Silvanovich也准备在下周到美国拉斯维加斯举行的黑帽安全大会（BlackHat）分享相关细节，根据简介说明，更会展示如何让用户不需要互动就能攻击iPhone，并可利用SMS、MMS、VisualVoicemail、iMessage和Mail中实现漏洞。

如今对于一位没有打算越狱用户，也建议是离即更新到iOS12.4版本上，防止自己设备暴露在风险之下。