苹果 App Store 和 iTunes 现重大漏洞_手机游戏新闻

  

　　

　　最近安全专家在苹果公司的App Ste和iTunes发票系统中发现了一个重大漏洞。攻击者利用该漏洞可以劫持会话，恶意操控发票。

　　Vulnerability Lab的安全研究员Benjamin Kunz Mejri本周公布其发现的这个漏洞。该重大的注入缺陷是应用程序端输入验证web漏洞。该安全研究员在公告中表示，网络攻击者可以通过持续的操作环境与其他苹果应用商店用户的账号互动来控制这个漏洞，不管这些用户是发送方还是接收方都不会影响他们利用这个漏洞。该安全研究员表示，发票是提供给卖家和买家双方的，这会给买家、卖家或者苹果网页管理员/开发者带来很大的风险。

　　攻击者还能够利用这个漏洞来劫持用户会话，不断发起钓鱼攻击，创建链接到外部资源的持久重定向，操控被影响或相连的服务模块。

　　Mejri 发现该漏洞之后就在6月8日进行了通知和协调，随后便对苹果产品安全小组发出供应商通知，苹果公司在收到通知之后做出了回应和反馈，苹果开发者小组提供了修复漏洞通知之后，Vulnerability Labaty才于日前公开他们发现的这个漏洞。

　　本月早些时候，苹果在新版的iOS以及OS X操作系统中对存在的诸多安全漏洞进行了修补。在一份安全公告中，苹果公司表示他们发布的iOS 8.4包含了20多处补丁，对存在的远程代码执行、应用程序终止运行、加密流量拦截等问题进行了修正。

　　在这些更新中，一处称之为“Logjam”的缺陷得到了解决。这是用在Diffie-Hellman密匙交换算法中的加密漏洞，该技术被广泛用于在互联网协议中共享密匙及创建安全通讯频道。该漏洞使得成千上万采用HTTPS的网站与服务器暴露在流量被盗取与截获的危险中，进而可能遭受中间人攻击。

　　这些问题中的至少一个会直接影响到Apple Watch。该问题存在于应用的安装环节，恶意应用会利用该漏洞阻止Watch应用启动