设为首页|收藏本站|
发帖
登录 注册
西兔生活网 华人生活 都市圈 Apple网上服务有多达55个漏洞,可以接管员工账号 ...
回复 发帖
返回列表 发新帖
开启左侧

[科技] Apple网上服务有多达55个漏洞,可以接管员工账号

[复制链接]
17057 0
zuliao 发表于 2020-10-10 22:56:51 | 只看该作者 打印 上一主题 下一主题
 
有网络安全研究团队在对Apple的几款网络服务进行长达3个月的分析后发现,这些服务总共有多达55个漏洞,并且其中有11个是属于高危级别。

Apple网上服务有多达55个漏洞,可以接管员工账号 第1张图片


这55个漏洞具体是包括了29个严重、13个中度严重以及2个轻微漏洞。这些漏洞可以使攻击者对用户以及员工的应用程序发起蠕虫攻击,从而可以自动接管受害者的iCLoud账号、获取Apple内部项目的源代码、完全渗透一个Apple使用的工控仓库,并且接管Apple员工的会议以及可以接触到管理工具以及敏感资源。

这次的众多漏洞是由Sam Curry、Brett Buerhaus、Ben Sadeghipour、Samuel Erb以及Tanner Barnes从今年6月至9月期间发现的。在向Apple回报了这些漏洞后,Apple在1到2个工作日内就开始修复这些漏洞。直至目前为止,Apple成功修复了28个漏洞,并且作为漏洞悬赏计划的一部分,Apple也向这组研究团队发放了接近29万美元的赏金。

而这些漏洞当中的11个高危漏洞如下:

1. 通过绕过授权以及验证执行任意代码

2. 通过错配许可绕过验证并允许全局管理员权限

3. 通过未过滤的文件名参数注入指令

4. 通过泄露的机密以及被公开的管理员工具执行任意代码

5. 内存泄露导致员工及用户账号渗透及内部应用访问

6. 通过未过滤的输入参数注入Vertical SQL

7及8. 可蠕洞存储型XSS漏洞容许攻击者完全渗透目标用户iCloud账号

9. 完全响应SSRF容许攻击者读取内部源代码以及访问受保护资源

10. Blind XSS漏洞容许攻击者访问内部的用户及员工问题追踪支持入口

11. 报行服务器端PhantomJS容许攻击者访问内部资源以及获得AWS IAM密钥

Apple网上服务有多达55个漏洞,可以接管员工账号 第2张图片


Sam Curry在其博客中表示:

“当初我们开始这个项目的时候,并没有想过整个项目会需要3个多月的时间才能够完成。原本这是一个我们会时不时搞一下的小项目,但是由于疫情原因我们有了很多额外的时间,我们每一个人都花了几百小时在上面。”


下一篇:客服工作人员 Part-time type
标签:网络安全安全研究应用程序网络服务网上服务
@



1.西兔生活网 CTLIVES 内容全部来自网络;
2.版权归原网站或原作者所有;
3.内容与本站立场无关;
4.若涉及侵权或有疑义,请点击“举报”按钮,其他联系方式或无法及时处理。
举报

关联主题
回复

使用道具 举报

 
返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

zuliao白金会员

0关注

6粉丝

443帖子

热门图文
热门帖子
排行榜
活跃网友
返回顶部快速回复上一主题下一主题返回列表APP下载手机访问
Copyright © 2016-2028 CTLIVES.COM All Rights Reserved.  西兔生活网  小黑屋| GMT+8, 2024-5-6 08:06