Noll
Apple har i hemlighet lagas en massa hög svårighetsgrad buggar som rapporteras till den av Googles Project Zero forskare.
Flytten har resulterat i Googles Project Zero återigen ringa Apple ut för fastställande iOS och macOS säkerheten brister utan att dokumentera dem i public security advisories.
När det är goda nyheter att Apple fick Project Zero 90-dagars tidsfrist för korrigering eller avslöja fel hittas, koncernens Ivan Fratric nyligen hävdade att den praxis som hotade användare genom att inte till fullo informera dem om varför en uppdatering ska installeras.
Den här gången kritiken kommer från Project Zero ‘ s Ian Öl, som har krediterats av Apple med att hitta massor av allvarliga säkerhetshål i iOS och macOS under åren.
Öl skrivit en blogg om flera sårbarheter i iOS 7 han fann 2014 att dela gemensamma nämnare med flera buggar han hittat i iOS 11.4.1, av vilka han nu släppt utnyttjar för.
Öl konstaterar att ingen av de senaste frågorna nämns i iOS-12 säkerhetsbulletinen även om Apple gjorde åtgärda dem. Avsaknad av information om dem är en “avskräckande effekt” för iOS-användare patch, Öl hävdar.
“Apple är fortfarande återstår att tilldela CVEs för dessa frågor eller att offentligt erkänna att de var fast i iOS 12,” skrev Öl.
“I min mening en säkerhetsbulletin bör tala om säkerhet fel som har rättats. Gör inte så avskräcker folk att uppdatera sina enheter eftersom det verkar som om det fanns färre korrigeringar än det verkligen var.”
I andra fall, till exempel en macOS bugg Öl rapporterade Apple gjorde faktiskt tilldela en CVE, men det har fortfarande inte uppdaterat relevanta säkerhetsbulletin för att återspegla fixa.
Apple likaså fördelas CVE-2018-4337 till en annan hög svårighetsgrad iOS-bugg, som var fast i iOS 12, men är för närvarande inte erkänt i iOS-12 säkerhetsbulletinen.
I ett annat fall, Apple fixade en bugg som påverkas iOS och macOS, men inte tilldela en CVE eller nämna det i säkerhetsbulletinerna.
Inte bara kan det vara en nackdel för slutanvändarna att lappa iphone och Mac, men Öl påpekar också i en annan bugg rapport att bristen på offentligt erkännande av Apple betyder att han har ingen möjlighet att veta om problemet är en dubblett av att en annan forskare kan ha hittat.
Som han konstaterar i bloggen, många av de buggar han hittat i iOS är mycket liknande eller samma sak som buggar som hittas av noterade jailbreaking hackare Pangu Team.
Tidigare och tidigare täckning
Google: Apple, din lömska iPhone lapp är en fara för användare
Om jag kan hitta dessa buggar med allmänna verktyg, tänk vad onda kan göra med hemliga och kära, säger Project Zero-expert.
Apple iOS-12 security update tar itu med Safari spoofing, data läckor, kernel-minne brister
IPad och iPhone maker ‘ s iOS 12 lansera åtföljs av en massa uppdateringar för olika produkter.
Windows 10 säkerhet: Google Project Zero strimlor Microsofts unika Kanten försvar
Google Project Zero, säger Microsofts Godtycklig Kod Vakt i Kanten misslyckas där Chrome webbplats isolering lyckas.
Apple förbättrar säkerheten skydd i macOS Mojave
macOS Mojave är den senaste versionen av Mac-operativsystemet, som presenterades idag under Apples WWDC-konferens.
Google Project Zero: “Här är hemligheten för att markera buggar innan hackare att hitta dem”
Googles Project Zero har problem med Samsung och HackerOne säkerhet felrapportering processer.
Googles Project Zero exponerar unpatched Windows-10 lockdown bypass
Google förnekar flera förfrågningar av Microsoft för en förlängning till Project Zero-90-dag avslöja-eller-fixa deadline.
Kinesisk spion chips: 3 potentiella nedfallet för näringslivet TechRepublic
En Bloomberg-rapporten konstaterades att de Kinesiska spioner i hemlighet lagt mikrochips på moderkort som gick till Apple, Amazon och CIA.
Apple, Amazon förneka rapport som Kinesisk spion marker infiltrerat deras hårdvara CNET
Tech-jättar tvist förslaget om en massövervakning kampanj.
Relaterade Ämnen:
Apple
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0