Apple не может исправить публично раскрытые недостатки нулевого дня в iOS 15.0.1

article thumbnail

AppleInsider поддерживается своей аудиторией и может получать комиссию, когда вы совершаете покупки по нашим ссылкам. Эти партнерские отношения не влияют на наши редакционные материалы.

Apple выпустила точечное обновление для iOS 15 в пятницу, но выпуск, похоже, направлен в основном на проблемы удобства использования, поскольку три уязвимости нулевого дня, которые были публично раскрыты на прошлой неделе, не исправлены.

В сентябре исследователь безопасности Денис Токарев, более известный под псевдонимом illusionofcha0s, утверждал, что Apple проигнорировала несколько отчетов, касающихся недавно обнаруженных уязвимостей нулевого дня, присутствующих в iOS, флагманской мобильной операционной системе компании. Токарев в своем блоге сказал, что в период с 10 марта по 4 мая он сообщил Apple о четырех недостатках, и хотя одна проблема была исправлена ​​в iOS 14.7, остальные три остаются активными.

В пятницу исследователь безопасности сообщил в Твиттере, что три проблемы сохраняются в последней версии iOS 15.0.1.

По его собственному признанию, оставшиеся уязвимости нулевого дня не являются срочными, одна из них связана с ошибкой, которая может позволить вредоносным приложениям считывать информацию Apple ID пользователей, если она каким-то образом разрешена в App Store.

Тем не менее, действия Apple по раскрытию информации, о которой сообщалось в рамках программы Bug Bounty, не устраивают Токарева, который в конце сентября написал сообщение в блоге, в котором подробно описывается его взаимодействие с командой технологического гиганта. По словам исследователя, Apple не смогла перечислить проблему безопасности, которую она исправила в iOS 14.7, и не добавила информацию об уязвимости в последующих обновлениях страницы безопасности.

«Когда я столкнулся с ними, они извинились, уверили меня, что это произошло из-за проблемы с обработкой, и пообещали перечислить ее на странице безопасности в следующем обновлении», — писала тогда illusionofchaos. «С тех пор было три релиза, и каждый раз они нарушали свое обещание».

Apple увидела запись в блоге Токарева и снова извинилась. Компания заявила, что по состоянию на 27 сентября ее команды все еще занимались исследованием трех оставшихся уязвимостей. На прошлой неделе Токарев обнародовал уязвимости в соответствии с

Этичные хакеры раскритиковали программу Apple Bug Bounty и общее отношение компании к исследователям общественной безопасности, сославшись на отсутствие связи, проблемы с оплатой и другие проблемы. Инициатива предлагает выплаты за ошибки и эксплойты.

Ранее на этой неделе исследователь Бобби Раух публично раскрыл уязвимость AirTag после того, как Apple не смогла ответить на основные вопросы об ошибке и приписывают ли Раух находку. Уязвимость позволяет злоумышленникам вставить код, который может перенаправить добрых самаритян на вредоносную веб-страницу, когда устройство сканируется в режиме пропажи.

Соцсети