苹果向安全研究人员支付 75000 美元以奖励其发现 Safari 摄像头 0day 漏洞
| 2020-04-05 09:41
据《福布斯》报道,苹果支付了 75000 美元,以识别其软件中的多个零日漏洞,其中一些漏洞可用于劫持 MacBook 或 iPhone 上的相机。
零日漏洞是指软件开发人员和公众所不知道的软件安全漏洞,而悄悄利用它的攻击者可能已经知道了这些漏洞。
据报道,安全研究员 Ryan Pickren 在决定用“模糊的角落案例敲打浏览器”直到它开始显示怪异行为后,才发现了 Safari 中的漏洞。该漏洞猎人共发现了 7 个漏洞。这些漏洞涉及 Safari 解析统一资源标识符、管理 web 源和初始化安全上下文的方式,其中三个漏洞可以用来诱骗用户访问恶意网站,使攻击者能够访问摄像头。
Pickren 于 2019 年 12 月通过苹果的漏洞赏金计划报告了他的研究。苹果立即验证了所有七个漏洞,并在几周后为相机发布了修复程序。该相机漏洞已在 1 月 28 日发布的 Safari 13.0.5 中进行了修补。不那么严重的其余零日漏洞已在 3 月 24 日发布的 Safari 13.1 中进行了修补。
苹果于 2019 年 12 月向所有安全研究人员开放了其漏洞赏金计划。在此之前,苹果的漏洞赏金计划是基于邀请的,并且不包括非 iOS 设备。苹果还根据安全漏洞的性质,将每个漏洞的赏金上限从 20 万美元提高到了 100 万美元。
在提交报告时,研究人员必须包括问题的详细说明,利用漏洞的工作时系统状态解释,以及足以使苹果可靠地再现问题的足够信息。今年,苹果计划为经过审查和值得信赖的安全研究人员和黑客提供“开发”版 iPhone 或特殊的 iPhone,以提供对底层软件和操作系统的更深入访问,从而更容易发现漏洞。
来源:cnBeta.COM
更多资讯
谷歌宣布暂时回滚 Chrome 隐私功能 以确保疫情期间网站稳定性
Chrome 工程总监 Justin Schuh 在 Chromium Blog 发文宣布暂时回滚 SameSite Cookie 功能,以确保新冠病毒疫情期间网站的稳定性。SameSite 是全新的 cookie 分类模型,在二月初发布的 Chrome 80 稳定版中被引入。Chrome 会将没有声明 SameSite 值的 cookie 默认设置为 SameSite=Lax 。
来源:开源中国
Mozilla Firefox 74.0.1 发布 修复两个 0day 漏洞 建议尽快升级
Mozilla 紧急发布了 Firefox 74.0.1 和 Firefox ESR 68.6.1 版本,针对其内存空间管理方式中存在的两个错误进行了修复。两项漏洞分别为 CVE-2020-6819 和 CVE-2020-6820,均被评级为”严重“。这类 ”user-after-free“ 漏洞使黑客可以将代码放入 Firefox 的内存中,并在浏览器的上下文中执行代码。
来源:开源中国
Let's Encrypt 免费证书用户请注意:你的证书可能已经无法签发/更新
自 4 月 3 日下午开始 Let's Encrypt 证书签发和续期遭遇不可抗力故障。不论用户是新申请证书还是对已有证书进行续期均受影响,当然通过自动化程序进行续签也会因此无法续期成功。正常情况下续期都会提前进行因此暂时部分即将到期的证书还可以使用,但如果接下来无法恢复则访问会受影响。
来源:蓝点网
“日本互联网之父” 3 亿美元出售 1400 万个 IPv4 地址
3 月 25 日,IPv6 倡导者 Jun Murai 宣布,他将出售超过 1400 万个 IPv4 地址,所有收益将以信托基金的方式,用于提升亚太地区的互联网服务,进一步填补甚至消除全球性的数字鸿沟。
来源:雷锋网
(信息来源于网络,安华金和搜集整理)