16-8-5 Apple 釋出 iOS 9.3.4 安全性更新

發佈留言

距離上次 iOS 9.3.3 更新才過了僅僅 17 天,今天淩晨 Apple 又釋出了 iOS 9.3.4
這次更新來得那麼快的原因,就是針對盤古越獄使用漏洞的安全性更新
About the security content of iOS 9.3.4 的頁面可以看到這次更新只修正了一個安全性漏洞

IOMobileFrameBuffer
Available for: iPhone 4s and later, iPad 2 and later, iPod touch (5th generation) and later
Impact: An application may be able to execute arbitrary code with kernel privileges
Description: A memory corruption issue was addressed through improved memory handling.
CVE-2016-4654: Team Pangu

這種不用連接電腦、只需要讓使用者裝一個 ipa 就能夠越獄 iOS 裝置的方便性可見一斑
方便的程度大概就是僅次於由 comex 開發,只要打開 Safari 就能夠越獄 iOS 3 ~ iOS 4 的 JailbreakMe

但是如此方便的越獄方式也帶來了相同程度的隱憂
想想如果有心人士用同樣的方式讓你裝了 ipa
但是背地裏卻偷偷使用這個漏洞來取得設備上的重要資料
也難怪 Apple 會如此迅速的釋出 iOS 9.3.4 更新了

老話一句,不要隨便相信陌生的企業憑證
也不要隨便安裝 AppStore 以外的 ipa

PS. 這個漏洞影響的層面很廣,連 32bit 的 iPhone 4s 以及 iPad 2 都會受到影響
但是盤古只用來開發 64bit 裝置的漏洞,真是有點可惜了

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。