Hackernews 编译，转载请注明出处： 周三，苹果发布了针对iOS、iPadOS、macOS、tvOS和watchOS的软件补丁，以解决影响其平台的一系列安全漏洞。 这包括至少37个漏洞，这些漏洞跨越iOS和macOS中的不同组件，从权限提升到任意代码执行，从信息泄露到拒绝服务。 其中最主要的是CVE-2022-2294，这是Google本月早些时候披露的WebRTC组件中的内存损坏漏洞，该漏洞在针对Chrome浏览器用户的真实攻击中被利用。但是，没有证据表明针对iOS，macOS和Safari的漏洞进行了疯狂的零日利用。 除了 CVE-2022-2294 之外，这些更新还解决了影响 Apple Neural Engine （CVE-2022-32810、CVE-2022-32829 和 CVE-2022-32840）、音频 （CVE-2022-32820）、GPU 驱动程序 （CVE-2022-32821）、ImageIO （CVE-2022-32802）、IOMobileFrameBuffer （CVE-2022-26768）、内核（CVE-2022-32813 和 CVE-2022-32815） 和 WebKit （CVE-2022-32792）的几个任意代码执行漏洞。 此外，还修补了影响内核的指针身份验证绕过 （CVE-2022-32844）、ImageIO 组件中的 DoS 错误 （CVE-2022-32785），以及 AppleMobileFileIntegrity 和文件系统事件中的两个权限提升漏洞（CVE-2022-32819 和 CVE-2022-32826）。 最新版本的 macOS 解决了 SMB 模块中的五个安全漏洞，恶意应用可能会利用这些漏洞来获得提升的权限、泄露敏感信息以及使用内核权限执行任意代码。 建议 Apple 设备的用户更新到 iOS 15.6、iPadOS 15.6、macOS（Monterey 12.5、Big Sur 11.6.8 和 2022-005 Catalina）、tvOS 15.6 和 watchOS 8.7，以获得最新的安全防护。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

当地时间7月6日，苹果公司宣布，计划在iOS 16、iPadOS 16和macOS Ventura中引入一种新模式Lockdown Mode（封锁模式），以保护高风险用户免受 “高度针对性的网络攻击”。 目前，该功能旨在应对带有国家背景的监控软件如Pegasus、DevilsTongue、Predator和Hermit，即将推出的系统更新的测试版中可以预览该功能。 封锁模式默认关闭，可以通过进入设置>隐私和安全>封锁模式来打开。 苹果公司在声明中称，启用封锁模式后，将强化手机设备防御并严格限制某些功能，大幅减少可能被间谍软件利用的攻击面。 被限制的功能包括：阻止除图片以外的大多数信息附件类型、禁用信息中的链接预览；使及时（JIT）JavaScript编译失效、取消对照片共享相册的支持、阻止来自未知号码的FaceTime来电。 当iPhone被锁定时，其他限制会切断与电脑或配件的有线连接，并且禁止安装配置文件，这一功能精彩被用来绕过App Store的侧载应用程序。 苹果还表示，它计划日后在封锁模式中加入更多的对策，同时邀请安全研究专家来发掘高危漏洞，符合标准的人将有资格获得高达200万美元的漏洞赏金。 一个月前，苹果在iOS 16和macOS Ventura中首次推出快速安全响应功能，该功能可以帮助用户在不更新完整操作系统版本的前提下，部署安全修复。 谷歌和Meta也提供类似的软件功能，称为高级账户保护和Facebook保护，旨在保护那些处于 “高攻击风险 “的个人账户，使其免受接管攻击的影响。未来，谷歌也可能在安卓系统中更新类似功能。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/338587.html 封面来源于网络，如有侵权请联系删除

北京时间6月11日凌晨消息，苹果公司首席执行官蒂姆库克今天致信美国参议院，商业、科学运输委员会主席Maria Cantwell（D-WA）和美国众议院委员会主席Frank Pallone（D-NJ）。库克主张在联邦层面制定强有力的隐私立法。这封信似乎是对一项名为“美国数据隐私和保护法”的拟议两党法案的回应，该法案有关公司可以从个人那里收集的数据类型以及他们如何使用这些数据。 库克在信中表示，苹果将继续支持联邦层面的努力，为消费者建立强有力的隐私保护。库克重申了苹果的信念，即隐私是一项基本人权。库克表示，虽然苹果努力保护用户隐私，但“只有国会才能为所有美国人提供强有力的隐私保护。” 库克信函全文如下： 尊敬的Cantwell和Pallone主席以及Wicker和Mc Morris Rodgers的高级成员： 感谢您在隐私立法方面的持续工作。苹果继续支持联邦层面的努力，为消费者建立强有力的隐私保护，我们对你们办公室提出的提案草案感到鼓舞。 我们认识到有待解决的悬而未决的问题，但协议的领域似乎远大于分歧。您的草稿将为消费者提供实质性保护，我们写信是为了为实现这一共同目标提供强有力的支持。通过您的工作，再加上拜登总统呼吁更好地保护儿童隐私，美国人似乎比以往任何时候都更接近于获得有意义的隐私保护。 在苹果，我们相信隐私是一项基本人权。这就是为什么我们一直倡导全面的隐私立法，并尽可能为这一过程做出贡献。这也是我们始终构建默认情况下保护用户及其信息的产品和功能的原因。为此，我们通过最小化收集的数据、在用户设备上处理尽可能多的数据、让用户了解收集的数据和控制其使用方式的透明度以及构建强大的系统来保护我们所有的用户数据来做到这一点。产品与服务。 尽管苹果将继续创新和开发保护用户数据的新方法，但只有国会才能为所有美国人提供强有力的隐私保护。不幸的是，这项重要立法的持续缺失将使隐私权的拼凑方法永久存在，这使得太多人没有我们希望通过您的努力看到的严格标准。 我们强烈敦促您尽快推进全面的隐私立法，我们随时准备在未来几天协助这一进程。   转自 新浪科技，原文链接：https://finance.sina.com.cn/tech/2022-06-11/doc-imizirau7723380.shtml 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，2021 年，苹果 App Store 应用审核团队封杀了超过 34.3 万个违反隐私规定的 iOS应用程序，另外还有 15.7 万个应用程序因试图误导或向 iOS 用户发送垃圾邮件而被拒绝。 值得一提的是，苹果公司表示，有 34500 个应用程序因使用了未记录或隐藏功能，从而禁止在 App Store上获得索引。不仅如此，苹果还删除了 15.5 万个采用诱导性策略的应用程序。 整个 2021 年，应用程序审查团队“下架了”超过 160 多万个有风险或有漏洞的应用程序。 苹果公司在一份欺诈预防分析报告中宣称，前年，App Review 团队拒绝或删除了近 100 万个有问题的新应用程序和近 100 万个应用更新。 苹果公司表示，公司的目标是致力于使 App Store 成为值得用户信赖的地方，其保护客户免受欺诈的努力需要多个团队的监测和警惕，这些团队集中在应用审查，发现欺诈等几个领域。 去年，Avast 的研究人员发现，被称为 fleeceware 的欺诈性应用程序仍然是 iOS 应用商店的一个大问题。这类应用程序往往以免费试用为借口，引诱客户，之后就会要求用户每年支付数千美元的订阅费用。 Avast 表示，在苹果和谷歌的应用商店中，大约有 200 个这样的软件应用程序，预计产生了超过 4 亿美元的利益。 一年前，Sophos 的研究人员同样发现了几十个 fleeceware 应用程序， iOS 用户大约下载了 368 万次，使其成功跻身 App Store 最畅销应用程序之列。 阻止了 15 亿美元的潜在欺诈性交易 苹果公司表示，整个 2021 年，它保护其客户免受约 15 亿美元的潜在欺诈性交易。另外，还阻止了 330 多万张被盗卡在苹果在线商店平台上的使用，并禁止了近 60 万个账户在其平台上进行交易。 苹果公司强调，没有什么数据比用户的财务信息更敏感，这就是为什么 Apple 投入巨资，创建类似 Apple Pay 和 StoreKit 等更安全的支付技术。 据统计，超过 905000 个应用程序使用了这些技术在 App Store 上销售商品和服务。使用 Apple Pay，用户的信用卡号码永远不会与商家共享，这很好的消除了支付交易过程中产生的风险因素。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/335320.html 封面来源于网络，如有侵权请联系删除

近日，苹果发布了安全更新以解决一项新的零日漏洞，黑客可以利用该漏洞对Mac和Apple Watch设备发起攻击。 5月16日发布的安全报告中，苹果方面透露，公司已经意识到这个安全漏洞“可能正被积极利用”。 该漏洞是一项AppleAVD（音频和视频解码的内核扩展）中的越界写入问题，追踪代码为CVE-2022-22675，它允许应用程序以内核权限执行任意代码。该漏洞由匿名研究人员报告，随后苹果在macOS Big Sur 11.6、watchOS 8.6和 tvOS 15.5系统中对其修复并改进了边界检查。 受该漏洞影响的设备包括Apple Watch Series 3及更新的机型、运行macOS Big Sur的Mac、Apple TV 4K、Apple TV 4K（第2代）和Apple TV HD等。 虽然苹果公司披露了一些关于网络攻击的报告，但并没有发布任何关于这些攻击的额外信息。 外界推测，苹果公司很可能是希望通过隐瞒信息进而在攻击者发现零日漏洞的细节并将它利用于其他攻击之前，让安全更新覆盖尽可能多的Macs和Apple Watch设备。 虽然这个零日漏洞很可能只能被运用于针对性进攻，但苹果公司仍然强烈建议尽快安装macOS和watchOS的安全更新以阻止攻击企图。 2022零日漏洞一览 今年1月，苹果对另外两个被在野利用的零日漏洞进行了修补，一个漏洞使攻击者能够利用内核权限执行人任意代码（追踪编号为CVE-2022-22587），另一个漏洞使攻击者能够跟踪网页浏览活动和用户身份（追踪编号为CVE-2022-22594）。 一个月后，苹果发布了一项新的安全更新，以修补另一个零日漏洞，漏洞的追踪编号为CVE-2022-22620，被用来攻击iPhone、iPad和Macs设备，导致操作系统崩溃，并在受损的苹果设备上远程执行代码。 今年3月，英特尔图形驱动程序和AppleAVD解码器中也发现了两个活跃的零日漏洞，追踪编码分别为CVE-2022-22674和CVE-2022-22675，后者如今依旧活跃在旧版本macOS、watchOS 8.6和tvOS 15.5系统中。 这5个零日漏洞会影响iPhone（iPhone 6s及以上）、运行macOS Monterey的Mac和多种iPad型号的设备。 转自 Freebuf，原文链接：https://www.freebuf.com/news/333384.html 封面来源于网络，如有侵权请联系删除

尽管发布了一个更新来解决macOS Monterey中的两个零日漏洞，但苹果还没有将其应用于最后两个macOS版本，这可能会让多达40%正在使用的Mac计算机处于危险之中。 苹果在2022年3月31日对macOS Monterey的更新中解决了这些关键的漏洞。然而，到目前为止，它还没有更新macOS Big Sur和macOS Catalina。但苹果公司传统上会支持当前和之前两个版本的macOS的安全更新。 两个被积极利用的漏洞中，有一个仍然专门针对Big Sur，那就是漏洞CVE-2022-22675，涉及AppleAVD，用于音频和视频解码的框架。 第二个漏洞CVE-2022-22674是在英特尔图形驱动程序中出现的，迄今为止仍然能够影响到Big Sur和Catalina。安全人员预计，这两个漏洞同时存在于老版本的macOS，意味着35%到40%的活跃的Mac电脑都有漏洞。 安全警报的的发布者Intego说，它有”高度的信心，CVE-2022-22674可能影响到macOS Big Sur和macOS Catalina”。它的部分依据是，它说，”英特尔图形驱动程序中的几乎所有漏洞”都影响了所有版本的macOS。 苹果公司还没有发表评论。不过，它已经发布了iOS和iPadOS的更新，据说对iPhone和iPad的AppleAVD漏洞进行了修补。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1255271.htm 封面来源于网络，如有侵权请联系删除

据知情人士透露，苹果和Meta在2021年年中回应了伪造的“紧急数据请求”，向黑客提供了用户的基本信息，如客户的地址、电话号码和IP地址。伪造的“紧急数据请求”是由多个国家/地区的执法人员的被黑电子邮件域发送的，并且经过精心设计，带有真实或虚构执法人员的伪造签名，看起来合法。 据彭博社报道，一个名为“Recursion Team”的网络犯罪组织与2021年发送给多家公司的一些伪造的法律请求有关。一些黑客被认为是美国和英国的未成年人，并且至少其中一名未成年人还参与了攻击微软、三星和英伟达。 据上述知情人士透露，通常情况下，此类请求会获得一份搜查令或由法官签署的传票，但紧急请求不需要法院命令。Snap也收到了来自同一群黑客的伪造法律请求，但不知道它是否提供了用户数据。 苹果表示需参照公司的法律指引，Meta发言人表示将阻止已知的被盗账户发出请求，并与执法部门合作对涉及可疑欺诈性请求的事件作出回应。   转自 新浪科技 ，原文链接：https://t.cj.sina.com.cn/articles/view/6192937794/17120bb4202001splu 封面来源于网络，如有侵权请联系删除

据报道，犯罪黑客正在通过一种有效的、狡猾的技术用偷来的执法部门的电子邮件从大型科技公司、ISP、运营商和社交媒体公司窃取用户数据。据网络安全记者Brian Krebs称，更具体地说，攻击者显然正在伪装成执法官员以获取传票特权数据。 一般来说，他们使用被破坏的执法部门电子邮件账户。 这种策略还依赖于一种叫做紧急数据请求(EDR)的政府调查。通常情况下，技术公司只有在有法院命令的情况下才会交出用户数据或发出传票。然而当局可以在涉及迫在眉睫的伤害或死亡威胁的情况下提出EDR–绕过法院批准的文件或官方审查的需要。 据Krebs称，恶意黑客已经发现，技术公司和社交媒体公司没有简单的方法来验证EDR是否合法。“通过利用对警方电子邮件系统的非法访问，黑客将发送一个假的EDR，同时证明，如果不立即提供所要求的数据无辜的人将可能遭受巨大的痛苦或死亡。” 记者发现，网络犯罪分子会向潜在买家出售“搜查令/传票服务”的证据，这些人宣称可以从苹果、Google和Snapchat等服务中获取执法数据。 然而对于这样的情况，没有简单的方法来缓解这个问题。技术公司在面对EDR时不得不做出令人不安的选择，即遵从一个可能是假的请求或拒绝一个合法的请求–可能会使某人的生命受到威胁。 来自加州大学伯克利分校的安全专家Nicholas Weaver认为，清理这一漏洞的唯一方法是由FBI这样的机构充当所有州和地方执法机构的唯一身份提供者。 不过Weaver认为，即使是这样也不一定有效，因为FBI如何实时审查一些请求是否真的来自某个偏远的警察部门还是一个问题。 “如果你被抓到，风险很大，但这样做不是一个技巧问题。而是一个意志的问题。如果不在全美范围内彻底重做我们对互联网身份的思考，这是一个根本无法解决的问题，”Weaver说道。 2021年7月，美国立法者提出了一项可能有帮助的法案。该立法将要求向州和部落法院提供资金以便它们能够采用数字签名技术来打击伪造的法院命令。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1252595.htm 封面来源于网络，如有侵权请联系删除