据The Verge网站1月3日报道, 安全研究员特雷弗 · 斯皮尼奥拉斯发现并披露了一个存在于苹果IOS系统中的漏洞,使用Homekit API进行攻击,而且苹果修复该漏洞的速度非常缓慢。
特雷弗 · 斯皮尼奥拉斯介绍,如果攻击者创建了一个名称非常长的 Homekit 设备,那么一旦连接到该设备的 IOS 设备读取了该设备的名称,它就会失去响应,进入一个冻结和重启的循环,只有通过擦除和恢复 IOS 设备才能结束这个循环。
此外,由于 Homekit 设备的名称备份到 icloud,用恢复的设备登录到同一个 icloud 账户将再次引发崩溃,这个循环一直持续到设备所有者关闭从 icloud 同步家庭设备的选项。尽管攻击者可能会侵入用户现有的支持 Homekit 的设备,但最有可能引发这种攻击的方式是攻击者创建了一个家庭网络,欺骗用户通过钓鱼邮件加入攻击者。
为了防范攻击,IOS 用户的主要预防措施是立即拒绝任何加入陌生家庭网络的邀请。此外,目前使用智能家居设备的 IOS用户可以通过进入控制中心并禁用设置“ show home controls”来保护自己,这不会阻止家庭设备的使用,但限制哪些信息可以通过控制中心访问。
1月1日,斯皮尼奥拉斯在他的个人网站上公布了详细信息。苹果公司曾称赞他在2019年发现了苹果IOS系统的漏洞。斯皮尼奥拉斯说,新的漏洞影响到最新 IOS 版本15.2,至少可以追溯到14.7。
(编译:宁璐)
1、一种是dom结构复杂2、另外一种是加载了过多的css样式,3、前者好解决,后者的话如果用了mui.css就比较麻烦了3、现在是尽量少用mui.css,要用到一些mui的控件时,就把依赖的样式从css中拷贝出来4、建议官方把css拆成 base.css+各种控件.css,后来我发现还真不好拆,前期没设计好,后期越来越臃肿。苹果于6月14日发布了iOS12.5.4系统更新,该新版针对无法运行iOS14更新的旧iOS设备。
根据苹果的发布说明,iOS12.5.4主要是安全更新,修正了三个可能导致被任意执行代码的安全漏洞,其中两个影响 WebKit 的漏洞可能已被积极利用。
具体修正安全漏洞如下
影响:修正恶意制作的证书可能会导致任意代码执行。
说明:已通过删除易受攻击的代码解决 ASN.1 解码器中的内存损坏问题。
影响:解决恶意制作的网页内容可能会导致任意代码执行,该漏洞可能已被积极利用。
描述:内存损坏问题已通过改进状态管理得到解决。
影响:解决恶意制作的网页内容可能会导致任意代码执行。苹果认为该问题可能已经被积极利用。
描述:已通过改进内存管理解决释放后的使用问题。
这三个漏洞在iOS14中同样存在,其中一个已在iOS14.6中得到修复,剩下两个安全漏洞可能需要等到iOS14.7才能修正解决。
iOS12.5.4系统更新适用于 iPhone 5s、iPhone 6、iPhone 6s Plus、iPad Air、iPad mini 2、iPad mini 3 和 iPod touch(第 6 代)等设备,为保护免受恶意软件和安全漏洞的侵害,建议以上旧设备用户在条件允许的情况下升级。