就在苹果发布安全更新的几分钟后,一家开发了10天越狱漏洞的公司发布了代码,其他人可以利用这些代码劫持iphone、iPod touch和ipad。
苹果公司(Apple)周三发布了一项安全更新,几分钟后,这家开发了一项10天前的越狱漏洞的公司发布了代码,其他人可以利用这些代码劫持iphone、iPod touch和ipad。
“Comex”,JailbreakMe 2.0的开发者,发布源代码黑客利用了iOS的两个漏洞,并允许iPhone用户安装未经授权的应用程序。
苹果修补了漏洞周三早些时候。
comex用来越狱iOS的漏洞可以用于其他目的,包括提供恶意载荷来控制iphoneipad和iPod touch。黑客所需要做的就是诱骗用户访问恶意网站,或者说服他们点击电子邮件或短信中的链接。
“让人印象深刻。和危险,”说Mikko海波伦他是反病毒公司F-Secure的首席研究官推特今天早些时候的代码。
用不了多久,comex的工作就会成为获取iphone和ipad“根”访问权或完全控制权的攻击武器。
“@comex谢谢,现在用它来做恶意的垃圾,”一个被称为“MTWomg”在comex发布源代码后不久,Twitter上就发布了这一消息。
注意到Mac漏洞研究人员迪诺·戴·左维,《Mac黑客手册,插话道,他也发出了警告。“现在@comex已经发布了他的越狱源代码,你能打赌多久后它会被移植到Metasploit吗?”Dai Zovi在推特上星期三。
Metasploit是一种开源渗透测试框架,有些人把它用作黑客工具包。
苹果昨天没有给2007年的第一代iPhone或iPod Touch打补丁,只更新到运行iOS 2.0或更高版本的iPhone 3G或更高版本,以及运行iOS 2.1或更高版本的第二代iPod Touch。由于缺少补丁,这些早期模型可能容易受到攻击。
同样可能面临风险的还有:Mac OS x。与iOS一样,苹果的桌面操作系统也包含FreeType字体引擎,可能会受到同样或类似漏洞的攻击。
使用comex代码越狱iphone的用户需要做出一个决定。如果他们接受了周三的更新,他们将失去安装和运行未经苹果批准的软件的能力。但如果忽略了更新,他们可能会成为未来基于公共代码的攻击的受害者。
安全专家敦促包括越狱者在内的所有人都进行升级。
“我们建议所有的iOS用户,包括那些越狱的用户,现在就安装最新的更新,”Hypponen说博客星期三。
用户可以通过将iPhone、iPod Touch或iPad连接到PC或Mac,运行iTunes,点击左侧列表中的设备,然后点击“Check for update”按钮来下载iOS更新。
阅读更多关于麦金塔的信息在计算机世界的麦金塔主题中心
这篇题为《危险的iPhone漏洞代码公开》的文章最初是由《计算机世界》 .