近日,一名安全研究人员发布了据称是 iPhone 4s 直至 iPhone X 的永久性、不可修补的 bootrom 漏洞,这可能导致永久越狱。Twitter 用户 axi0mX 今天分享了这个漏洞,并且命名为 “checkm8”,如果该漏洞进一步加以利用,将导致史诗般的越狱。
axi0mX 表示:“我今天发布的只是一个漏洞,并不是支持 Cydia 的越狱,这是针对数亿个 iOS 设备,永久性不可修补的 bootrom 漏洞,大多数 iPhone 和 iPad 都容易受到影响,从 iPhone 4S(A5 芯片)到 iPhone 8 和 iPhone X(A11 芯片)。研究人员和开发人员可以使用它转储 securerom,使用 AES 引擎解密密钥包,并降级设备以启用 JTAG。你仍然需要其他硬件和软件才能使用 JTAG。“
在 2018 年夏季发布的 iOS 12 Beta 中,苹果修补了 iBoot USB 代码中的一个严重漏洞。此漏洞只能通过 USB 触发,并且需要物理访问。它不能被远程利用。尽管苹果已经给出了补丁,但是黑客们分析发现,此漏洞还是可以加以利用。黑客已经在 GitHub 上发布了这个最新漏洞和相关工具,并警告利用这个漏洞的时候可能导致设备变砖。
值得注意的是,苹果已经扩展了其漏洞赏金计划,并将于明年开始为开发人员提供越狱前的设备。这将为该计划中的人员提供一个前所未有的,受到苹果支持的 iOS 安全研究平台,该平台具有SSH,root shell和高级调试功能。
来源:cnBeta.COM
更多资讯
微软发现新型 Nodersok 恶意软件已经感染了数千台个人电脑
微软发现全球数千台 Windows 电脑感染了一种新的恶意软件,该恶意软件下载并安装了 node.js 框架的副本,以将受感染的系统转换为代理,执行点击欺诈。该恶意软件被称为 Nodersok 或者 Divergent,最初是在今年夏季发现的,通过恶意广告在用户电脑上强行下载 HTA 文件进行传播。
来源:cnBeta.COM
详情链接:https://www.dbsec.cn/blog/article/5155.html
付款码截图发给其他人后被盗刷?微信:不存在的
假期即将来临,出游愉快“剁手”时切记注意资金安全。近日,关于微信、支付宝付款码截图、数字泄露被盗刷的消息再次出现。今天,微信支付官方微博发文称,目前,微信已通过技术手段切断“将截图发给其他人后被盗刷”的可能性。
来源:cnBeta.COM
详情链接:https://www.dbsec.cn/blog/article/5156.html
现在大多数垃圾邮件都包含恶意 URL,而不是文件附件
根据网络安全公司 Proofpoint 收集的遥测数据,在今年上半年发送的大多数恶意电子邮件垃圾邮件(malspam)包含指向恶意文件的链接,而不是文件附件。更准确地说,在 2019 年第二季度(4月、5月和6月)发送的所有垃圾邮件中,有 85% 包含指向恶意文件下载的链接,而不是电子邮件中附加的实际恶意文件。
来源:ZDNet
详情链接:https://www.dbsec.cn/blog/article/5157.html
工信部就网络安全产业发展征意见:2025 年规模超 2000 亿
9月27日,工信部官网刊载《关于促进网络安全产业发展的指导意见(征求意见稿)》(以下简称“《意见》”),面向社会公开征求意见。《意见》提出,到 2025 年,培育形成一批年营收超过 20 亿的网络安全企业,形成若干具有国际竞争力的网络安全骨干企业,网络安全产业规模超过 2000 亿。
来源:中新网
详情链接:https://www.dbsec.cn/blog/article/5158.html
(信息来源于网络,安华金和搜集整理)