先週、セキュリティ研究者のDenisTokarevがいくつか作成しました ゼロデイiOSの脆弱性パブリック 彼がAppleが彼の報告を無視し、数ヶ月間問題を修正できなかったと言った後。
トカレフは今日言った マザーボード Appleは彼の不満を公表した後、そして彼らがメディアの注目を集めた後に連絡を取りました。電子メールで、Appleは連絡の遅れについて謝罪し、問題を「まだ調査中」だと述べた。
'この問題と他のレポートに関するあなたのブログ投稿を見ました。返信が遅れたことをお詫びします」とAppleの従業員は書いています。 「私たちはまだこれらの問題を調査中であり、顧客を保護するためにそれらにどのように対処できるかをお知らせしたいと思います。これらの問題を報告するために時間を割いていただき、ありがとうございます。ご協力に感謝いたします。ご不明な点がございましたら、お気軽にお問い合わせください。」
12プロはいくらですか
アップル やりました iOS 14.7の脆弱性の1つを修正しましたが、Tokarevにクレジットを提供しませんでした。 App Storeからインストールされたすべてのアプリが完全にアクセスできるようにするGameCenterのバグなど、他の3つは未解決のままです。 Apple ID メールアドレスと名前、‌ Apple ID‌認証トークン、連絡先のリスト、およびいくつかの添付ファイル。
ゼロデイ脆弱性のすべての詳細は 公開 Tokarevによるもので、Appleにそれらをより早く修正するよう促すかもしれません。
ミラーフロントカメラiphoneios 14
Tokarevは3月10日から5月4日の間にこれらのバグについて最初にAppleに連絡したため、Appleはパッチを発行するのに数か月かかりましたが、バグを悪用するには悪意のあるものが必要になるため、セキュリティ研究者とTokarev自身がバグはそれほど重要ではないことを確認しました。最初に‌ App Store‌を受け取るアプリ承認。
それでも、専門家はAppleの対応とそのバグ報奨金プログラムを批判している。サイバーセキュリティの専門家であるケイティ・ムスリス氏は マザーボード Appleのプロセスの取り扱いは「正常ではなく、正常と見なされるべきではない」と述べたが、研究者のNicholas Ptacekは、Appleの反応は「悪い報道への反応」として出くわしたと述べた。
今月上旬、 ワシントンポスト 20人以上のセキュリティ研究者にインタビューしました 欠陥を明らかにする Appleのバグバウンティプログラムで。研究者たちは、Appleはバグの修正に時間がかかり、借りているものを常に支払うとは限らず、研究者はAppleのプログラムに不満を抱くようになると述べた。
当時、Appleのセキュリティエンジニアリングおよびアーキテクチャの責任者であるIvanKrstićは、Appleは参加を拡大するために「研究者に新しい報酬を導入することを計画している」と述べ、Appleは新しくさらに優れた研究ツールの提供に取り組んでいると述べました。
タグ:アップルのセキュリティ、脆弱性
人気の投稿