白帽黑客发现苹果55个安全漏洞其中11个为“高危”级别获赏金288000美元

影视聚合站› 科技› 文章内容

发布时间：2020-10-14 18:20:35来源：E安全

更多全球网络安全资讯尽在E安全官网www.easyaq.com

E安全10月14日讯据外媒报道，近日，一群黑客发现了苹果55个漏洞，其中一个漏洞能使攻击者窃取用户iCloud照片。为此，苹果公司奖励了这群黑客288500美元。

这些黑客是“白帽黑客”，他们并非出于犯罪目的进行黑客攻击，目的是提醒苹果注意漏洞，而不是窃取信息。

该团队由20岁的山姆·库里(SamCurry)领导，与BrettBuerhaus、BenSadeghipour、SamuelErb和TannerBarnes一起共事。

“我从来没有参与过苹果的漏洞赏金计划，所以我真的不知道会发生什么，但是我想为什么不试试运气，看看我能找到什么。”库里在一篇帖子中说。

到目前为止，由库里团队发现的55个漏洞中，有11个被标记为“危险”漏洞，对此，苹果已经通过其漏洞赏金计划向该组织支付了288,500美元，库里说，一旦苹果公司处理了黑客报告的所有错误，他们的总付款额可能超过50万美元。

危险漏洞如下：

通过绕过授权和身份验证机制，远程执行代码；

通过配置不当的权限绕过身份验证机制，拥有管理员全局访问权；

通过未经净化的文件名参数，注入命令；

通过泄露的机密信息和暴露的管理员工具，远程执行代码；

内存泄漏导致员工和用户帐户受到危及，从而允许访问各种内部应用程序；

通过未经净化的输入参数，实行VerticaSQL注入攻击；

可通过蠕虫传播的存储型XSS（WormableStoredXSS）让攻击者可以全面危及受害者的iCloud帐户；

完全响应SSRF让攻击者可以读取内部源代码，并访问受保护的资源；

服务器端PhantomJS执行让攻击者可以访问内部资源，并获取AWSIAM密钥。

BlindXSS让攻击者可以访问内部支持门户以跟踪客户和员工问题；

库里说，苹果公司在他们报告问题后不久便解决了漏洞。

注：本文由E安全编译报道，转载请注原文地址