近日安全研究人员披露了存在于 iOS 系统中的漏洞,使用 HomeKit 进行攻击,而且苹果修复该漏洞的速度非常缓慢。 安全研究员 Trevor Spiniolas 称,如果 HomeKit 设备名称被改为一个“很长的字符串”,在测试中设定为 50 万个字符,加载该字符串的 iOS 和 iPadOS 设备就会被重新启动并无法使用。
此外,由于该名称存储在 iCloud 中,并在登录到同一账户的所有其他 iOS 设备中得到更新,该错误可能会反复出现。
Spiniolas 称这个漏洞为“doorLock”,并声称它影响到测试中的 iOS 14.7 以上的所有 iOS 版本,尽管它也可能存在于所有 iOS 14 版本中。
此外,虽然 iOS 15.0 /15.1 中的更新对应用程序或用户可以设置的名称长度进行了限制,但以前的 iOS 版本仍然可以更新名称。如果该错误在没有限制的 iOS 版本上被触发,并共享 HomeKit 数据,那么与之共享数据的所有设备也将受到影响,无论版本如何。
这会导致两种情况发生,在控制中心没有启用 Home 设备的设备会发现 Home 应用无法使用并崩溃。重启或更新都不能解决这个问题,恢复的设备如果签入同一个 iCloud 账户,将再次使 Home 无法使用。
对于在控制中心启用了Home设备的 iPhone 和 iPad ,也就是用户访问HomeKit设备时的默认设置,iOS本身变得毫无反应。输入变得延迟或被忽略,设备没有反应,偶尔会经历重启。
在这种情况下,重启或更新设备都无法解决,而中断的USB访问基本上会迫使用户恢复设备并丢失所有本地数据。然而,恢复和签署到同一iCloud账户将再次触发该错误,其效果与之前相同。
Spiniolas认为这个问题可能被用于恶意的目的,比如通过一个可以访问家庭数据的应用程序自己引入这个错误。攻击者向其他用户发送对Home的邀请也是可行的,即使目标不拥有HomeKit设备。
据研究人员称,通过在控制中心禁用Home设备,可以避免这两种情况中最糟糕的情况。要做到这一点,打开"设置"和"控制中心",然后将"显示家庭控制"的切换设置为关闭。用户还应该对加入其他用户的家庭网络的邀请保持警惕,特别是那些来自未知联系人的邀请。
Spiniolas声称,他最初在8月10日向 苹果 公司报告了这个错误,据说苹果公司计划在2022年底前发布修复该错误的安全更新。然而,据称苹果随后在12月8日将其估计改为"2022年初"。
该研究人员写道:“我认为这个bug的处理是不恰当的,因为它给用户带来了严重的风险,而且很多个月过去了,没有得到全面的修复。公众应该知道这个漏洞以及如何防止它被利用,而不是被蒙在鼓里”。
【来源:cnBeta.COM】
| 相关下载 |
在过去的一周时间里,对于 IT 管理员来说无疑是非常忙碌的,他们正在争分夺秒地应对影响世界各地系统的 Log4j 漏洞。随着安全专家不断发现日志工具中的更多漏洞,IT 管理员详情>>
近日Apache Log4j 2出现漏洞导致我的世界杯黑客攻击,不少玩家都受到了不同程度的影响,而这一切的起因都是因为Apache Log4j 2漏洞。怎么才能修复Apache Log4j 2漏洞呢?来看看吧详情>>
12月13日消息,据国内媒体报道,近日, 被全球广泛应用的组件Apache Log4j被曝出一个已存在在野利用的高危漏洞, 攻击者仅需一段代码就可远程控制受害者服务器。几乎所有行详情>>
10月25日消息,据国外媒体报道,美国当地时间周日晚间,电动汽车制造商特斯拉正式开始向其测试车主推送“全自动驾驶”软件测试版FSD Beta 10.3。不过测试者抱怨详情>>
“drbrix”于 8 月 9 日在 HackerOne 上报告了该漏洞。但问题的要点是,如果您的电子邮件 ID 包含某些字符串,例如“amount100”,您可以拦截 POS详情>>
面向 iOS、watchOS 和 macOS,今天苹果发布了一个 紧急更新 ,修复了一个重大安全漏洞。 有证据表明该漏洞自今年 2 月以来就被黑客利用,能够在用户没有干预的情况下在设详情>>
原标题:有媒体指出 Steam 平台注册存漏洞,无严格身份验证 IT之家 9 月 16 日消息 近日国家新闻出版署下发《关于进一步严格管理切实防止未成年人沉迷详情>>
每年为了买游戏你得花费多少?绝大部分玩家,想必对于这个问题的答案都难以给出一个清楚的回答。毕竟许多玩家每每遇到Steam促销活动,都会视自己游戏库里一众吃灰的游戏熟视详情>>
本周一,Google发布了适用于 Android 系统的新一轮安全补丁,共计修复了 33 个漏洞。 根据Google官方公告,最大的威胁来自于 Media Framework 漏洞,可能允许本地恶意应用程详情>>
2010年,Google推出了漏洞奖励计划(VRP,Vulnerability Rewards Programs),安全研究人员可以很方便地提交漏洞报告,针对有效漏洞Google会发放100美元到3万美元不等的奖励。 详情>>
谷歌威胁分析团队指出,在针对西欧政府官员的渗透活动中,SolarWinds 黑客利用了在旧版 iOS 系统中新发现的一个零日漏洞。 周三的这份报告,披露本次攻击还利用了通过领英详情>>
虽然微软准备在今年晚些时候公开发布之前改进新发布的Windows 11 操作系统,但该公司今天发布了一个紧急补丁,以解决当前 Windows 版本中的一个关键漏洞。这家雷德蒙德详情>>
微软上周向所有 Windows 用户发布了一则警告,称其 Windows 后台打印程序存在一个未修补的严重 bug,这一漏洞被称为 PrintNightmare,而且正在被广泛利用。 据提醒,该漏详情>>
微软今天推出了一个紧急 Windows 修复补丁,以修复存在于 Windows Print Spooler 服务中的一个关键缺陷。 该漏洞被称之为“PrintNightmare”,在安全研究人员详情>>
《Apex英雄》这款游戏之前还是非常火爆的,而且最近还有很多玩家都可以使用辅助瞄准来进行攻击,并且目前已经被列入了开发者的代办事项当中,并且很多的详情>>
原标题:八零九零的童年经典动画配音,漏洞百出,孩子们却只认这个味儿? 现在看外国文化作品,更追求的是原声,但其实80后、90后都是听着“稀奇古怪”的译制详情>>
《Apex英雄》第9赛季最近上线,而随之而来的也是一些全新的游戏漏洞。最近有玩家利用一些漏洞卡进游戏内的一些石头里,在这些石头里的玩家不会受到任何敌人攻击的伤害。这详情>>
Adobe在周二发布了一系列补丁,包含12个不同应用程序的安全更新。其中一个最常见应用程序,即Adobe Reader的漏洞目前正被积极利用。据Adobe称,Adobe Acrobat和Reader的其详情>>
《Apex英雄》第9赛季最近上线,而随之而来的也是一些全新的游戏漏洞。最近有玩家利用一些漏洞卡进游戏内的一些石头里,在这些石头里的玩家不会受到任何敌人攻击的伤害。这详情>>
最近根据外媒“Threatpost”报道,有研究人员在昨日(5月8日)称,在高通的芯片中发现一个新的漏洞,这个漏洞会影响全球30%的安卓用户!并且会导致用户的手机详情>>
“秘密俱乐部(The Secret Club)”是一个逆向工程团体,他们在推特上公布了其团队成员Florian两年前发现的存在于《反恐精英:全球攻势》的重大漏详情>>
谷歌 Project Zero 安全团队今天对 漏洞披露指南 进行了调整, 为每次安全漏洞披露增加了 30 天的缓冲期,这样终端用户就有足够的时间来修补软件,防止这些漏洞被攻击者利详情>>
对于普通用户来说,本月补丁星期二活动发布的 Windows 10 累积更新并没有什么新的内容,主要是对系统安全性进行优化。不过对于 Windows 和 Microsoft Exchange 管理员来详情>>
随着人们掌握的安全漏洞知识越来越多,随之而来的则是越来越多的漏洞被发现和利用。 据外媒报道,近日, 谷歌的互联网安全团队“Project Zero”披露了2020年详情>>
一支安全研究团队近日展示了基于浏览器的全新旁道攻击(Side-channel attack),即便是JavaScript在被阻止的情况下也能生效。目前包括Intel酷睿、AMD Ryzen、三星 Exynos 详情>>
原标题:剑网3运营漏洞被找到?白嫖绝版称号,老玩家狂喜:明年继续 前段时间,《剑网3》制作人郭炜炜被推上微博之夜榜上第一的事情引发了热议。事实上2019详情>>
原标题:剑网3运营漏洞被找到?白嫖绝版称号,老玩家狂喜:明年继续 前段时间,《剑网3》制作人郭炜炜被推上微博之夜榜上第一的事情引发了热议。事实上2019详情>>
原标题:剑网3运营漏洞被找到?白嫖绝版称号,老玩家狂喜:明年继续 前段时间,《剑网3》制作人郭炜炜被推上微博之夜榜上第一的事情引发了热议。事实上2019年详情>>
赛博朋克2077的新1.1大补丁程序本周早些时候引入了一个打破游戏性的错误,现在,开发人员CD Projekt Red正在对其进行修复。今天,在PC,Stadia和Xbox / PlayStation控制台上详情>>
Google Chrome浏览器会定期发布更新,以带来大量精美功能,以改善网络浏览体验。但是,有时这些新更新带有零时差漏洞利用,这会对用户的隐私构成风险。值得庆幸的是,Google还详情>>
昨晚,CDPR的官方微博宣布推出《赛博朋克2077》1.12热修复补丁,这个补丁现已在PC平台实装。该更新主要解决了可能被用于执行远程代码的漏洞(包含存档文件)详情>>
苹果最新发布的 iOS/iPadOS 14.4 更新中包含了对三个零日漏洞的修复,该公司认为这些漏洞可能会被黑客利用,推荐用户尽快升级。苹果在一份安全更新文件中表示,这三个漏洞详情>>
育碧于上周五对旗下战术射击游戏《彩虹六号:围攻》进行了热修。根据外媒PC Gamer报道,《彩虹六号:围攻》在早前曝出了新漏洞。这个漏洞可以让玩家在未被详情>>
在《赛博朋克2077》游戏中有着非常多的智力专长可供玩家选择,漏洞专家就是一个被动智力专长,效果是解锁稀有快速破解,下面便是小编为大家带来的《赛博朋克2077》漏洞专家介绍详情>>
随着《战地5》最后一次大更新结束,EA专心于系列续作《战地6》的开发,此前有传闻称新作背景定在了第三次世界大战,将会是北约大战俄罗斯,但未被官方证实。详情>>
![[图]全球超过100万物联网设备受影响安全专家发现33个漏洞](https://img0.pconline.com.cn/pconline/2012/09/13893946_8845ef906b660f9_thumb.jpg)
摘要: 数百万智能家居和物联网设备所使用的基础开源软件被曝光存在大量漏洞,意味着你家中的智能设备就可能因这些漏洞而受到黑客攻击。 网络安全公司 Forescout 今日披详情>>
目前苹果所销售的产品中,包括Mac、iPhone、iPad 、Ap详情>>
今天微软发布了新的Windows 10 更新 ,修复的是高危漏洞,官方还是力荐用户去升级的。 微软发布了适用于 Windows 10 Version 2009(更新 下载 )/2004(更新 下载 )/19详情>>
原标题:VG乐言面临永久禁赛,职业选手带头用漏洞恶意上分!姿态点名开撕 VG乐言面临永久禁赛,职业选手带头用漏洞恶意上分!姿态点名开撕 VG战队的打野小乐详情>>
原标题:VG乐言面临永久禁赛,职业选手带头用漏洞恶意上分!姿态点名开撕 VG乐言面临永久禁赛,职业选手带头用漏洞恶意上分!姿态点名开撕 VG战队的打野小详情>>
