Nul
Apple har i al hemmelighed lappet en bunke af høj sværhedsgrad fejl, som rapporteres til det af Google ‘ s Project Zero forskere.
Flytningen har resulteret i Google ‘ s Project Zero igen ringer til Apple ud for fastsættelse af iOS og mac os sikkerhedshuller uden at dokumentere dem i public security advisories.
Mens det er godt nyt, at Apple slog Project Zero ‘ s 90-dages frist for rettelser eller at afsløre fejl, det finder, koncernens Ivan Fratric for nylig argumenteret for, at den praksis, der truede brugere af ikke fuldt at informere dem, hvorfor en opdatering, der skal installeres.
Denne gang er den kritik, der kommer fra Project Zero ‘ s Ian Øl, der er blevet krediteret af Apple med at finde snesevis af alvorlige sikkerhedshuller i iOS og mac os gennem årene.
Øl postet en blog om flere sårbarheder i iOS 7 han fandt i 2014, der deler fællestræk med flere fejl, han har fundet i iOS 11.4.1, nogle af hvilke han er nu frigivet udnytter det.
Øl bemærker, at ingen af de seneste spørgsmål, der er nævnt i iOS 12 sikkerhedsbulletin selvom Apple har lave dem. Mangel af oplysninger om dem er en “hæmsko” for iOS brugere at lappe, Øl hævder.
“Apple er stadig mangler at tildele CVEs for disse spørgsmål eller offentligt at anerkende, at de er blevet rettet i iOS 12,” skrev Øl.
“Efter min mening en sikkerhedsbulletin, skal nævne den sikkerhed fejl, der blev rettet. Ikke gør, så giver en demotiverende faktor for folk til at opdatere deres enheder, da det ser ud til, at der var færre sikkerhedsrettelser, end der virkelig var.”
I andre tilfælde, såsom en macOS fejl Øl rapporterede, at Apple har faktisk tildele et CVE, men det har stadig ikke opdateret de relevante sikkerhedsbulletin at afspejle den rette.
Apple ligeledes tildelt CVE-2018-4337 til en anden høj sværhedsgrad iOS fejl, som blev rettet i iOS 12, men er i øjeblikket ikke anerkendt i iOS 12 sikkerhedsbulletin.
I en anden sag, Apple rettet en fejl, der påvirkede iOS og mac os, men ikke tildele et CVE-eller nævner det i den sikkerhedsbulletin.
Ikke kun kan det være en hæmsko for slutbrugere til at lappe iPhones og Mac-computere, men Øl er også påpeger i en anden fejlrapport, at manglen på offentlig anerkendelse af Apple betyder, at han har ingen måde at vide, om problemet er en dublet, at en anden forsker har måske allerede fundet.
Som han bemærker i den blog, mange af de fejl, han har fundet i iOS er meget lignende eller det samme som fejl fundet af bemærkes, at jailbreaking hackere Pangu Team.
Tidligere og tidligere dækning
Google: Apple, din luskede iPhone patching er til fare for brugerne
Hvis jeg kan finde disse fejl ved hjælp af offentlig værktøjer, tænke på, hvad onde kan gøre med hemmelige dem, siger Project Zero ekspert.
Apple iOS 12 sikkerhedsopdatering tackler Safari spoofing, data lækager, kernehukommelse fejl
IPad og iPhone-maker ‘ s iOS 12 lanceringen er ledsaget af en masse sikkerhedsopdateringer til forskellige produkter.
Windows-10 sikkerhed: Google Project Zero makulerer Microsoft ‘ s unikke Edge-forsvar
Google Project Zero siger Microsofts Vilkårlig Kode Vagt i Kanten fejler hvor Chrome ‘ s hjemmeside isolation lykkes.
Apple forbedrer sikkerhed beskyttelse i macOS Mojave
macOS Mojave er den nyeste version af Mac-operativsystemet, der præsenteres i dag i løbet af Apple ‘ s WWDC konference.
Google Project Zero: ‘Her er hemmeligheden til at angive fejl, før hackere finde dem”
Google ‘ s Project Zero har problemer med Samsung og HackerOne sikkerhed bug rapportering processer.
Google ‘ s Project Zero udsætter unpatched Windows 10 lockdown bypass
Google afviser flere anmodninger fra Microsoft for en udvidelse til Project Zero ‘ s 90-dages afsløre-eller-fix frist.
Kinesisk spion chips: 3 potentielle fallouts for erhvervslivet, TechRepublic
En Bloomberg rapporterer, at Kinesiske spioner hemmeligt tilføjet mikrochips på bundkort, der gik til Apple, Amazon, og CIA.
Apple, Amazon benægte rapport, at Kinesisk spion chips infiltreret deres hardware CNET
Tech-giganter tvist om en masse overvågning kampagne.
Relaterede Emner:
Apple
Sikkerhed-TV
Data Management
CXO
Datacentre
0