蘋果 iOS 15.0.1 正式版發(fā)布，仍有 3 個(gè)零日漏洞未修補(bǔ)

IT之家 10 月 2 日消息 蘋果今天向 iPhone 和 iPad 用戶推送了 iOS/iPadOS 15.0.1 更新，內(nèi)部版本號(hào)：（19A348）。

iOS 15.0.1 正式版修復(fù)了一個(gè)用 Apple Watch 解鎖的 Bug，該 Bug 使得當(dāng)用戶戴著口罩時(shí)，經(jīng)過認(rèn)證的 Apple Watch 無法解鎖 iPhone 13/Pro 系列。

今天的更新還修復(fù)了一個(gè)可能導(dǎo)致設(shè)置 App 錯(cuò)誤地顯示存儲(chǔ)空間已滿警報(bào)的錯(cuò)誤，并解決了一個(gè)可能導(dǎo)致 Apple Watch 的 Fitness+ 用戶在啟用正念冥想時(shí)意外啟動(dòng)訓(xùn)練的問題。

據(jù) Apple Insider 報(bào)道，蘋果公司最新的 iOS 15.0.1 更新不包含 3 個(gè)零日漏洞的補(bǔ)丁，這 3 個(gè)零日漏洞是研究人員在幾個(gè)月前報(bào)告給蘋果的，并在上周公開披露。

9 月，安全研究員 Denis Tokarev（化名 illusionofchaos）聲稱，蘋果公司忽視了與新發(fā)現(xiàn)的存在于 iOS 系統(tǒng)中的零日漏洞有關(guān)的多個(gè)報(bào)告。Tokarev 在 3 月 10 日至 5 月 4 日期間向蘋果公司報(bào)告了四個(gè)漏洞，雖然一個(gè)問題在 iOS 14.7 中得到了修補(bǔ)，但其他三個(gè)問題在最新的 iOS 15.0.1 中仍然有效。

Tokarev 承認(rèn)，持續(xù)存在的零日漏洞中涉及到一個(gè) Bug，如果以某種方式允許進(jìn)入應(yīng)用程序商店，就可以使惡意制作的應(yīng)用程序讀取用戶的 Apple ID 信息。

不過，蘋果公司對(duì)通過“漏洞賞金計(jì)劃”報(bào)告的披露的處理方式，讓 Tokarev 感到不舒服，他在 9 月底寫了一篇博文，詳細(xì)介紹了他與科技巨頭團(tuán)隊(duì)的互動(dòng)。據(jù)這位研究人員說，蘋果公司沒有列出它在 iOS 14.7 中修補(bǔ)的安全問題，也沒有在隨后的安全頁面更新中添加有關(guān)該缺陷的信息。

蘋果公司看到了 Tokarev 的博文，并再次表示歉意。該公司表示，截至 9 月 27 日，其團(tuán)隊(duì)仍在調(diào)查剩余的 3 個(gè)漏洞，但 Tokarev 上周按照標(biāo)準(zhǔn)漏洞披露協(xié)議公開了這些缺陷。

IT之家獲悉，本周早些時(shí)候，研究人員 Bobby Rauch 公開披露了一個(gè) AirTag 漏洞，此前蘋果公司沒有回答關(guān)于該漏洞的基本問題，也沒有回答 Rauch 是否會(huì)因發(fā)現(xiàn)該漏洞而得到獎(jiǎng)勵(lì)。該漏洞允許攻擊者插入代碼，當(dāng)設(shè)備在丟失模式下被掃描時(shí)，可以將好心人重定向到一個(gè)惡意的網(wǎng)頁上。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。