苹果 iOS 15.0.2 正式版已修复一个零日漏洞,但并未感谢安全研究员

移动开发 iOS
安全研究员 Denis Tokarev(又名 illusionofchaos)分享了他向苹果公司报告 3 个零日 iOS 漏洞的经历,并批评了苹果公司如何反应迟缓、行动迟缓,并且没有给报告的三个漏洞中的一个及时打上补丁。

10 月 14 日消息,据 9to5 Mac 报道,上个月,安全研究员 Denis Tokarev(又名 illusionofchaos)分享了他向苹果公司报告 3 个零日 iOS 漏洞的经历,并批评了苹果公司如何反应迟缓、行动迟缓,并且没有给报告的三个漏洞中的一个及时打上补丁。现在看来,苹果已经修复了 1 个零日漏洞,这个漏洞是 Denis Tokarev 今年早些时候发现的 iOS 15 系统中的漏洞,但苹果没有给他署名并表示感谢。

[[428850]]

今年 9 月,Tokarev 说,在向苹果报告一些漏洞后等待了长达半年的时间,他决定将这些信息公开。

“十天前,我要求得到一个解释,并在当时警告说,如果我没有得到解释,将公开研究。我的请求被忽略了,所以我正在做说过的事情。我的行动符合负责任披露准则(Google Project Zero 在向供应商 ZDI 报告后 90 天内披露漏洞)。我等待的时间更长,在一个案例中长达半年。”

9 月底,Tokarev 分享说,他得到了苹果公司的回应,说他们仍在处理这些“问题”,并对延误表示道歉。

在他 9 月份的博文中,Tokarev 详细介绍了一个被操纵的零日漏洞(3 个中的 1 个),IT之家获悉,该漏洞将允许任何从 App Store 安装的应用程序获得个人用户数据,如 Apple ID 电子邮件和全名、Apple ID 授权令牌、对 Core Duet 数据库的完整文件系统读取权限,以及其他。

现在 Tokarev 说,他发现,苹果已经在 iOS 15.0.2 安全更新中修补了其发现的游戏方面的零日漏洞,但没有归功于他。

在 Tokarev 发现并报告给苹果的第一个零日漏洞,在 iOS 14.7 正式版(7 月 19 日)中被修复时,他没有得到奖励,苹果公司告诉他。

“由于处理方面的问题,你的奖励将包括在即将到来的更新中的安全建议上。我们对造成的不便表示歉意”。

在 iOS 15.0.2 中修补了第二个漏洞,并将其归功于“一位匿名研究人员”后,Tokarev 说,苹果确实在六个小时内对他做出了回应,但显然没有办法解决正确引用他的问题。同时,苹果公司仍然没有对他发现的在 iOS 14.7 中被修补的 analyticsd 零日漏洞补偿作出回应。

Tokarev 被要求对苹果公司的最新邮件进行保密,他目前也遵循了这一要求。


 

责任编辑:姜华 来源: IT之家
相关推荐

2021-10-12 19:01:31

0day漏洞漏洞网络攻击

2022-01-27 23:29:21

iOS苹果漏洞

2022-01-27 07:00:12

iPhoneiPadiOS

2023-07-25 13:23:18

2021-10-28 10:06:56

iOS苹果系统

2020-11-04 14:59:01

GoogleChrome更新

2024-01-23 07:46:29

2015-12-10 21:12:40

2020-01-14 11:46:14

谷歌iOS 12.4漏洞

2015-03-10 10:39:08

2021-07-27 22:34:09

iOS苹果系统

2023-09-27 22:22:26

2015-07-20 13:35:01

2022-11-09 15:18:53

2021-10-12 11:26:39

iOS应用系统

2023-09-26 22:10:34

iOS 17苹果

2016-08-29 21:09:32

2021-09-10 10:50:24

iOS苹果系统

2015-09-17 09:29:31

ios9下载

2019-12-11 14:55:25

iOS 13.3苹果更新
点赞
收藏

51CTO技术栈公众号