• 首页 > 网络安全频道 > 云安全

    卡巴斯基公布苹果 Triangulation 事件分析报告,黑客利用 4 项零日漏洞进行链式攻击

    2023年12月29日 16:13:16   来源:IT之家

      卡巴斯基今年 6 月发现苹果 iOS 设备中存在 Triangulation 漏洞,该漏洞允许黑客向受害者发送特定 iMessage 文件进行远程代码攻击,不过当时卡巴斯基出于“安全要求”没有公布漏洞细节。

      目前卡巴斯基已经正式公开了这项 Triangulation 漏洞的调查报告,IT之家注意到,这项 Triangulation 漏洞主要由 4 项零日漏洞构成:

      FontParser 漏洞 CVE-2023-41990

      整数溢出漏洞 CVE-2023-32434

      内存页面保护功能漏洞 CVE-2023-38606

      WebKit 漏洞 CVE-2023-32435

      卡巴斯基声称,实际上在 2019 年的 iOS 16.2 中,就有黑客尝试利用 Triangulation 漏洞发起攻击,不过直到今年 6 月卡巴斯基公布相关漏洞后苹果才进行修复,这意味着“黑客团队早已多次利用相关漏洞发起攻击”。

      据悉,黑客主要利用 CVE-2023-41990 漏洞发送恶意 iMessage 文件,从而在受害者设备上运行一项使用 JavaScript 编写的“权限获取工具”,之后利用 CVE-2023-32434 漏洞获取内存读写权限,再使用 CVE-2023-38606 漏洞绕过苹果的内存页面保护功能(Page Protection Layer),之后便能完全控制受害者的设备。

      在此之后,黑客利用 WebKit 中的 CVE-2023-32435 漏洞清理痕迹,并重复通过先前的漏洞来加载各种恶意程序。

      卡巴斯基声称,这是研究团队所见过的“最复杂的攻击链”,黑客巧妙利用了苹果芯片中的硬件机制漏洞,从而成功执行相关攻击,这足以证明即使设备软件拥有所谓各种先进加密保护机制,但若硬件机制中存在漏洞,便容易被黑客入侵。

      文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。

    即时

    新闻

    明火炊具市场:三季度健康属性贯穿全类目

    奥维云网(AVC)推总数据显示,2024年1-9月明火炊具线上零售额94.2亿元,同比增加3.1%,其中抖音渠道表现优异,同比有14%的涨幅,传统电商略有下滑,同比降低2.3%。

    企业IT

    重庆创新公积金应用,“区块链+政务服务”显成效

    “以前都要去窗口办,一套流程下来都要半个月了,现在方便多了!”打开“重庆公积金”微信小程序,按照提示流程提交相关材料,仅几秒钟,重庆市民曾某的账户就打进了21600元。

    3C消费

    华硕ProArt创艺27 Pro PA279CRV显示器,高能实力,创

    华硕ProArt创艺27 Pro PA279CRV显示器,凭借其优秀的性能配置和精准的色彩呈现能力,为您的创作工作带来实质性的帮助,双十一期间低至2799元,性价比很高,简直是创作者们的首选。

    研究

    中国信通院罗松:深度解读《工业互联网标识解析体系

    9月14日,2024全球工业互联网大会——工业互联网标识解析专题论坛在沈阳成功举办。