谷歌 Project Zero团队负责人 Ben Hawkes 在推特上披露称，苹果在发布 iOS 12.1.4 安全更新前，修复了已遭在野利用的两个 0day 漏洞。

0day 漏洞是软件厂商已经知晓但尚未推出补丁的漏洞，因此可导致设备易受攻击。

Hawkes 提交的第一个 iOS 0day 漏洞已遭利用，编号为 CVE-2019-7286。iOS12.1.4 安全更新中提到，该漏洞影响“应用程序和框架的功能基层”Foundation 框架。

Foundation

适用于：iPhone 5s及后续版本、iPad Air 及后续版本及 iPod touch 第6代；

影响：应用程序或可获取提升权限；

描述：改进输入验证，解决内存损坏问题；

CVE-2019-7286：由匿名研究员、谷歌威胁分析团队的 Clement Lecigne、谷歌 ProjectZero 团队的 Ian Beer 和 Samuel Groβ发现。

第二个 0day 漏洞影响“通过设备接口机制，实现对I/O Kit 对象的非内核访问权限的” IOKit。

IOKit

适用于：iPhone 5s及后续版本、iPad Air 及后续版本及 iPod touch 第6代；

影响：通过内核权限执行任意代码的应用程序；

描述：改进输入验证，解决内存损坏问题；

CVE-2019-7287：由匿名研究员、谷歌威胁分析团队的 Clement Lecigne、谷歌 Project Zero 团队的 Ian Beer 和 Samuel Groβ发现。

除了这两个 0day 问题影响运行 iOS 12.1.3 的设备外，苹果还修复了存在于 FaceTime 群聊通话功能中的严重的窃听问题。

现在 iOS 0day 漏洞的价码很高，比如 Zerodium 公司给出的最高价格为200万美元。

原文来自：http://www.codesafe.cn/index.php?r=news/detail&id=4699

本文地址：https://www.linuxprobe.com/ios-0day.html编辑：薛鹏旭，审核员：逄增宝

Linux命令大全：https://www.linuxcool.com/

Linux系统大全：https://www.linuxdown.com/

红帽认证RHCE考试心得：https://www.rhce.net/