谷歌旗下安全實(shí)驗(yàn)室目前已經(jīng)公布蘋果的 iMessage 消息應(yīng)用多個(gè)安全漏洞并且提醒用戶需要立即進(jìn)行修復(fù)。這些漏洞由于危害程度相當(dāng)高因此谷歌只公布其中部分漏洞信息，還有些漏洞蘋果暫時(shí)還沒有徹底進(jìn)行修復(fù)。所以那些尚未公布的漏洞可能還需要段時(shí)間才會(huì)公布，不過對于普通用戶來說立即升級到最新版本才最重要。

據(jù)了解這個(gè)漏洞很嚴(yán)重，是由Google Project Zero安全研究人員Natalie Silvanovich所發(fā)現(xiàn)的，代號CVE-2019-8646，發(fā)現(xiàn)之后第一時(shí)間就報(bào)告給了Apple。

對于這一個(gè)漏洞，Silvanovich稱其只在iOS 12或更高版本設(shè)備上進(jìn)行的測試，目的是為了示范漏洞在Springboard上的可存取性。這就意味著，這個(gè)漏洞造成的影響可能比想像中嚴(yán)重得多。

Silvanovich指出，這個(gè)iMessage問題是由_NSDataFileBackedFuture漏洞引發(fā)的，即使是采用安全編碼，黑客也還是能夠完成串并轉(zhuǎn)換，只要攻擊者呼叫NSData，就能將本地文件加載進(jìn)緩存。

至于說漏洞危害極高的主要原因是利用漏洞攻擊者可以遠(yuǎn)程竊取文件，即發(fā)送的信息里會(huì)連接攻擊者服務(wù)器。利用漏洞攻擊者可以將本地文件加載到內(nèi)存中以及引起越界讀取甚至越界寫入，這會(huì)引發(fā)非常嚴(yán)重的問題等。也正是如此攻擊者如有必要的話可以讀取本地存儲(chǔ)的文件，甚至將特定的機(jī)密文件上傳到攻擊者的服務(wù)器上。該漏洞影響 iPhone 5S、iPad Air 以及第六代 iPod Touch 之后的所有產(chǎn)品，所以影響范圍也是相當(dāng)廣泛的。

除上述漏洞外谷歌研究人員還在 iMessage 中發(fā)現(xiàn)另外的漏洞，攻擊者借助此漏洞可用來遠(yuǎn)程執(zhí)行任意代碼。同時(shí)攻擊者如果在有必要的時(shí)候還可以將其他應(yīng)用殺掉，因此對iOS 系統(tǒng)來說上述漏洞可摧毀安全防護(hù)功能。此外谷歌還有兩個(gè)沒說的漏洞是關(guān)于輸入認(rèn)證的問題，借助該漏洞惡作劇攻擊者可以讓收到信息的設(shè)備變磚。不過漏洞細(xì)節(jié)尚未公布因?yàn)檫€有漏洞蘋果未徹底修復(fù)，蘋果表示也將采取措施對信息實(shí)施過濾防止惡意內(nèi)容。