Nul
Apple heeft stiekem patched een bos van hoge ernst van de fouten die zijn gerapporteerd door Google ‘ s Project Zero onderzoekers.
De verhuizing heeft geresulteerd in Google ‘ s Project Zero weer bellen Apple voor de vaststelling van iOS en macOS beveiligingsfouten zonder het documenteren van hen in de openbare beveiligingsadviezen.
Terwijl het goede nieuws is dat Apple verslaan Project Zero ‘ s 90-dagen termijn voor het patchen of openbaarmaking van de bugs vindt, de groep Ivan Fratric recent betoogd dat de praktijk bedreigde gebruikers door het niet volledig informeren waarom een update moet worden geïnstalleerd.
Dit keer is de kritiek komt van Project Zero Ian Bier, wie is gecrediteerd door Apple met het vinden van tientallen ernstige beveiligingslekken in iOS en macOS de loop van de jaren.
Bier een blog geschreven over een aantal kwetsbaarheden in iOS 7 vond hij in 2014 dat het aandeel van de overeenkomsten met de verschillende fouten die hij heeft gevonden in iOS 11.4.1, sommige waarvan hij nu vrijgegeven exploits voor.
Bier merkt op dat geen van de nieuwste thema ‘ s wordt vermeld in de iOS-12 beveiligingsbulletin hoewel Apple deed ze op te lossen. Het ontbreken van informatie over hen is een “belemmering” voor iOS-gebruikers patch, Bier betoogt.
“Apple zijn nog steeds toewijzen CVEs voor deze problemen of in het openbaar te erkennen dat ze zijn opgelost in iOS 12,” schreef Bier.
“In mijn mening een beveiligingsbulletin moet vertellen dat de security bugs die verholpen zijn. Niet doen dus een belemmering voor mensen om een update van hun apparaten, omdat het lijkt dat er minder beveiligingscorrecties dan er werkelijk waren.”
In andere gevallen, zoals een macOS bug Bier gemeld, Apple deed eigenlijk het toewijzen van een CVE, maar het is nog steeds niet bijgewerkt de relevante beveiligingsbulletin om te reflecteren op de fix.
Apple ook toegewezen CVE-2018-4337 naar een andere, zeer ernstige iOS bug die is opgelost in iOS 12, maar is op dit moment niet erkend in de iOS-12 security bulletin.
In een ander geval, Apple fixed a bug die getroffen iOS en macOS, maar vond het niet toewijzen van een CVE of vermelden in de security bulletins.
Niet alleen kan het een belemmering voor eind-gebruikers patch iPhones en Macs, maar ook Bier wijst ook in een andere bug rapport dat het gebrek aan publieke erkenning door Apple van de middelen die hij heeft op geen enkele manier weten of de uitgifte van een duplicaat is dat een andere onderzoeker kan al hebt gevonden.
Als hij merkt op dat in de blog, en veel van de fouten die hij heeft gevonden in iOS zijn zeer vergelijkbaar of hetzelfde zijn als bugs gevonden door de bekende jailbreaken hackers Pangu Team.
De vorige en de vorige dekking
Google: Apple, uw sneaky iPhone patchen is in gevaar brengen gebruikers
Als ik deze bugs met het openbaar tools, denk wat slechteriken kunnen doen met geheime degenen, zegt Project Zero-expert.
Apple iOS-12 beveiligingsupdate pakt Safari spoofing, het lekken van gegevens, kernel geheugen gebreken
De iPad-en iPhone-maker ‘ s iOS-12 lancering wordt begeleid door een keur van beveiligingsupdates voor verscheidene producten.
Windows 10-beveiliging: Google Project Zero flarden van Microsoft ‘ s unieke Rand van de verdediging
Google Project Zero zegt Microsoft ‘ s Willekeurige Code Guard in de Rand mislukt waar Chrome site isolatie slaagt.
Apple verbetert beveiliging in macOS Mojave
macOS Mojave is de nieuwste versie van het besturingssysteem van de Mac, vandaag onthuld tijdens Apple ‘ s WWDC conferentie.
Google Project Zero: ‘Hier is het geheim te markeren up bugs voordat hackers vinden’
Google ‘ s Project Zero heeft problemen met Samsung en HackerOne de security bug reporting processen.
Google ‘ s Project Zero bloot ongepatchte Windows-10 de vergrendeling van de bypass
Google ontkent meerdere verzoeken van Microsoft voor een uitbreiding van Project Zero ‘ s 90 dagen-bekendmaken-of-fix termijn.
Chinese spion chips: 3 potentiële fallouts voor de zakelijke wereld TechRepublic
Een Bloomberg-rapport bleek dat de Chinese spionnen in het geheim toegevoegd microchips op moederborden die ging naar Apple, Amazon, en de CIA.
Apple, Amazon ontkennen rapport dat de Chinese spion chips geïnfiltreerd hun hardware CNET
De tech reuzen geschil de suggestie van een massa-toezicht campagne.
Verwante Onderwerpen:
Apple
Beveiliging TV
Data Management
CXO
Datacenters
0