尽快更新苹果系列产品的操作软件,VE-2022-32893的远程代码执行漏洞

贴吧(tieba)  /  houtizong1 发布于 1年前   299

上海辟谣平台梳理发现,此次苹果系列产品涉及的安全漏洞相当于设备为黑客留了一个“后门”:在苹果HTML渲染引擎(WebKit)中存在一个名为CVE-2022-32893的远程代码执行漏洞(RCE,黑客通过该漏洞可以欺骗iPhone、iPad和Mac运行未经授权和不受信任的代码。简单来说,就是黑客能入侵用户的电子产品,操作应用程序甚至安装使用新的应用程序。

根据报告,受影响的手机包括iPhone 6S及以后的型号;平板电脑包括第五代及以后的iPad、所有iPad Pro,以及iPad Air 2;电脑则是运行MacOS Monterey的Mac;漏洞还影响部分型号的iPod。

一个略微让人安心的消息是,苹果公司已经发布了系统更新以堵上漏洞。从苹果中国发布的官方系统更新看,包括iOS 15.6.1、iPadOS 15.6.1、macOS Monterey 12.5.1、watchOS 8.7.1、Safari浏览器15.6.1等,涉及手机、平板、电脑等各种设备。从更新提示看,以上软件均与安全性有关。苹果公司也提醒所有用户尽快安装。

安卓、Windows用户也不可大意

本次安全漏洞虽然与苹果产品相关,但使用安卓、Windows系统产品的用户也不可大意。因为没有哪个系统是无懈可击的。根据以往的安全监控,安卓系统、Windows系统、以及基于不同系统开发的各种应用程序,也都可能存在安全漏洞。

所以,国内外信息安全公司和团队都会不定期地披露他们的发现,提醒用户也提醒相关企业,及时补上漏洞。

比如,国外团队Altas VPN此前研究过Google Play商店中3335个免费和付费移动应用程序(APP)的安全性,发现超过60%的安卓应用程序包含安全漏洞,每个应用程序的平均漏洞数量高达39个。该团队指出,游戏、教育、银行、生产力应用程序都是漏洞重灾区。好在经过开发人员审查,大多数漏洞可以修复。

再比如,复旦大学计算机科学技术学院科研副院长、教授、博士生导师杨珉及其团队的论文在近期举行的USENIX Security上被评为“杰出论文奖”。USENIX Security是信息安全领域的4大顶级会议之一,而杨珉教授团队的论文聚焦各种应用软件的安全漏洞。他们研究了47个常见的应用软件,包括抖音、微信、支付宝、今日头条等,发现均存在安全漏洞,部分应用软件内嵌功能(“子APP”)可能暗中操纵用户账户、在手机上安装恶意软件等。研究团队已向以上应用软件开发者报告相关结果,帮助他们修复漏洞。

下载应用软件牢记几大要点

既然各种操作系统都可能有漏洞,那么用户如何保护自己?

最基本的做法是及时按照官方提醒,更新升级操作系统、应用软件。这些升级往往包含了安全方面的更新,能及时修复已经发现的漏洞。

同时,在下载应用程序(APP)时,不点击不明来历的链接、不下载非官方渠道的应用软件。目前,大部分品牌都有自己的官方应用程序市场,可以通过以上市场下载。

尤其要提防部分“李鬼”应用程序绕过审核,进入正规的应用市场。这类“李鬼”应用程序使用的图标、介绍往往与“李逵”很接近,但本身可能存在广告或病毒。通常,正牌“李逵”会有“官方”或“人工复检”字样,有助于用户辨别。

在下载不熟悉的应用软件前,建议先查看下载页面的“评论”项,看看其他用户的评价,特别是负面评价。如果发现有用户表示该应用程序存在吸费、吸流量等问题,应谨慎选择。

此外,不要贪小便宜下载所谓的“破解版”应用。有些应用软件需要付费使用,或其中的部分内容需付费使用,而应用市场会出现一些“破解版”,称能无偿使用相关软件或资源。通常,这类软件都不是由官方开发者提供,而是涉嫌侵权或植入非法代码的再加工版本。用户下载使用这类软件极可能“引狼入室”,主动将含有恶意代码的程序下载到自己的电子设备中,风险极大。

请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!

留言需要登陆哦

技术博客集 - 网站简介:
前后端技术:
后端基于Hyperf2.1框架开发,前端使用Bootstrap可视化布局系统生成

网站主要作用:
1.编程技术分享及讨论交流,内置聊天系统;
2.测试交流框架问题,比如:Hyperf、Laravel、TP、beego;
3.本站数据是基于大数据采集等爬虫技术为基础助力分享知识,如有侵权请发邮件到站长邮箱,站长会尽快处理;
4.站长邮箱:[email protected];

      订阅博客周刊 去订阅

文章归档

文章标签

友情链接

Auther ·HouTiZong
侯体宗的博客
© 2020 zongscan.com
版权所有ICP证 : 粤ICP备20027696号
PHP交流群 也可以扫右边的二维码
侯体宗的博客