谷歌公布6個重大iOS漏洞：可通過iMessage發動攻擊

　　據美國科技媒體ZDNet報導，谷歌旗下安全團隊Project Zero的兩名成員日前公布了影響iOS系統的6個“無互動”安全漏洞中其中5個的詳細信息和演示用攻擊代碼。

　　據悉，這6個“無互動”安全漏洞可通過iMessage客戶端發動攻擊。上周，即7月22日，蘋果發布了iOS 12.4版，修複了這6個安全漏洞。但是，其中一個“無互動”漏洞的細節此次並未公布，是因為iOS 12.4補丁還沒有完全解決問題。

　　據谷歌研究人員稱，這6個安全漏洞中的4個可以導致在遠程iOS設備上執行惡意代碼，而無需用戶互動。攻擊者需要做的只是向受害者的手機發送一條“錯誤格式”的消息，一旦用戶打開並查看接收到的項目，惡意代碼就會被執行。而第5個和第6個漏洞允許攻擊者從設備記憶體中泄漏數據，並從遠程設備讀取文件，同樣無需用戶乾預。

　　根據漏洞交易平台Zerodium的價格表顯示，類似於谷歌此次公布的這些漏洞，每條的價格可能超過100萬美元。可以毫不誇張地說，谷歌此次公開的這些漏洞信息的價值遠超500萬美元，很可能達到1000萬美元。

　　在下周於拉斯維加斯舉行的“黑帽”（Black Hat）安全會議上，谷歌安全研究人員將舉行一場關於遠程和無互動iPhone漏洞的演示。

　　谷歌Project Zero安全團隊成立於2014年7月，專為第三方軟體尋找漏洞。他們並不會利用這些漏洞，只會對第三方軟體開發商發出警告，以避免被惡意利用。