首页 >  资讯攻略 >  软件教程 >

苹果10月14日宣布iOS15.0.2正式版修复了1个零日漏洞 却没感谢安全研究员

作者:尘烟 来源: 2021-10-14 09:40:36

  10月14日消息,苹果在今天宣布iOS15.0.2正式版修复了1个零日漏洞,却没有感谢安全研究员Denis Tokarev,这个漏洞是 Denis Tokarev 今年早些时候发现的,上个月,他还分享了他向苹果公司报告 3 个零日 iOS 漏洞的经历,可见苹果公司行动有多么迟缓。

  该漏洞将允许任何从 App Store 安装的应用程序获得个人用户数据,如 Apple ID 电子邮件和全名、Apple ID 授权令牌、对 Core Duet 数据库的完整文件系统读取权限,以及其他。

  今年 9 月,Tokarev 说,在向苹果报告一些漏洞后等待了长达半年的时间,他决定将这些信息公开。

  “十天前,我要求得到一个解释,并在当时警告说,如果我没有得到解释,将公开研究。我的请求被忽略了,所以我正在做说过的事情。我的行动符合负责任披露准则(Google Project Zero 在向供应商 ZDI 报告后 90 天内披露漏洞)。我等待的时间更长,在一个案例中长达半年。”

  9 月底,Tokarev 分享说,他得到了苹果公司的回应,说他们仍在处理这些“问题”,并对延误表示道歉。

  值得一提的是,苹果已经在 iOS 15.0.2 的安全更新中,修补了他发现的游戏方面的零日漏洞,却没有归功于他。在 Tokarev 发现并报告给苹果的第一个零日漏洞,并且在 iOS 14.7 正式版(7 月 19 日)中被修复时,他没有得到任何奖励。