300 万个 iOS 和 macOS 应用程序面临强大的供应链攻击

300万“ iOS 和 macOS 应用程序面临强大的供应链攻击”/> 放大 奥地利 劳森 </图><p> 漏洞 那 去 没有检测到 为了 A 十年 左边 数千 的 苹果系统 和 iOS系统 应用 敏感的 有 供应链 攻击。 海盗 可以 具有 添加 恶意的 编码的 妥协 这 安全 的 百万 或者 十亿 的 人们 WHO 已安装 他们, 研究人员 说 星期一。</p> <p> 这 漏洞, 哪个 是 固定的 最后的 十月, 居住过 在 A “树干” 服务器 用过的 有 管理 可可豆荚, A 订金 为了 打开 来源 快速地 和 目标c 项目 那 大致 3 百万 苹果系统 和 iOS系统 应用 依靠 在。 什么时候 开发商 去做 变化 有 A 的 他们的 “豆荚”——CocoaPods 行话 为了 个人 编码的 依赖包 应用 通常 集成 他们 自动地 通过 应用 更新, 通常 和 不 相互作用 必需的 经过 结尾 用户。</p> 编码 注射 漏洞 <p> “很多 应用 能 访问 A 用户 最多 敏感的 信息: 信用 地图 细节, 医疗的 录音, 私人的 材料, 和 更多的,” 写了 研究人员 自从 EVA 信息 安全, 这 农场 那 发现 这 脆弱性。 “注射 编码的 在 这些 应用 可以 使能够 攻击者 有 访问 这 信息 为了 几乎 任何一位 恶意的 目的 可以想象:勒索软件, 欺诈罪, 勒索, 商业 间谍… 在 这 过程, 他 可以 暴露 公司 有 主要的 合法的 负债 和 声誉的 风险。 »</p> <p> 这 三 漏洞 EVA 发现 干 自从 A 不稳定的 确认 电子邮件 机制 用过的 有 认证 开发商 的 个人 豆荚。 这 开发商 之间 这 电子邮件 地址 伙伴 和 他们的 荚。 这 树干 服务器 回复了 经过 发送中 A 关联 有 这 地址。 什么时候 A 人 点击了 在 这 关联, 他们 韩元 访问 有 这 帐户。</p> <p> 在 A 案件, A 攻击者 可以 操纵 这 网址 在 这 关联 有 去做 他 表明 有 A 服务器 以下 这 攻击者的 控制。 这 服务器 公认 A 篡夺 XFH, A HTTP协议 你头脑里 为了 确认 这 目标 主持人 指定的 在 A HTTP协议 要求。 这 EVA 研究人员 寻找 那 他们 可以 使用 A 锻造 欣丰华 有 建造 网址 的 他们的 选择。</p> <p> 通常情况下, 这 电子邮件 将会 包含 A 有效的 关联 任务 有 这 CocoaPods.org 服务器 这样的 像:</p> <figure class= 有效的验证电子邮件是什么样的。 放大 / 如何 A 有效的 确认 电子邮件 看起来。 E.V.A. 信息 安全

这 研究人员 可以 反而 改变 这 网址 有 带领 有 他们的 自己的 服务器:

经过操作后的电子邮件检查。 放大 / A 电子邮件 确认 后 他 有 已经 被操纵。 E.V.A. 信息 安全

这 脆弱性, 跟进 作为 CVE-2024-38367, 居住过 在 这 会话控制器 班级 的 这 树干 服务器 来源 编码, 哪个 把手 这 会议 验证 网址。 这 班级 用途 这 会话控制器.rb 机制, 哪个 优先 这 欣丰华 在 这 原来的 主持人 头...

  技术   Jul 2, 2024   0   0  Add to Reading List
300 万个 iOS 和 macOS 应用程序面临强大的供应链攻击
300万“ iOS 和 macOS 应用程序面临强大的供应链攻击”/> 放大 奥地利 劳森 </图><p> 漏洞 那 去 没有检测到 为了 A 十年 左边 数千 的 苹果系统 和 iOS系统 应用 敏感的 有 供应链 攻击。 海盗 可以 具有 添加 恶意的 编码的 妥协 这 安全 的 百万 或者 十亿 的 人们 WHO 已安装 他们, 研究人员 说 星期一。</p> <p> 这 漏洞, 哪个 是 固定的 最后的 十月, 居住过 在 A “树干” 服务器 用过的 有 管理 可可豆荚, A 订金 为了 打开 来源 快速地 和 目标c 项目 那 大致 3 百万 苹果系统 和 iOS系统 应用 依靠 在。 什么时候 开发商 去做 变化 有 A 的 他们的 “豆荚”——CocoaPods 行话 为了 个人 编码的 依赖包 应用 通常 集成 他们 自动地 通过 应用 更新, 通常 和 不 相互作用 必需的 经过 结尾 用户。</p> 编码 注射 漏洞 <p> “很多 应用 能 访问 A 用户 最多 敏感的 信息: 信用 地图 细节, 医疗的 录音, 私人的 材料, 和 更多的,” 写了 研究人员 自从 EVA 信息 安全, 这 农场 那 发现 这 脆弱性。 “注射 编码的 在 这些 应用 可以 使能够 攻击者 有 访问 这 信息 为了 几乎 任何一位 恶意的 目的 可以想象:勒索软件, 欺诈罪, 勒索, 商业 间谍… 在 这 过程, 他 可以 暴露 公司 有 主要的 合法的 负债 和 声誉的 风险。 »</p> <p> 这 三 漏洞 EVA 发现 干 自从 A 不稳定的 确认 电子邮件 机制 用过的 有 认证 开发商 的 个人 豆荚。 这 开发商 之间 这 电子邮件 地址 伙伴 和 他们的 荚。 这 树干 服务器 回复了 经过 发送中 A 关联 有 这 地址。 什么时候 A 人 点击了 在 这 关联, 他们 韩元 访问 有 这 帐户。</p> <p> 在 A 案件, A 攻击者 可以 操纵 这 网址 在 这 关联 有 去做 他 表明 有 A 服务器 以下 这 攻击者的 控制。 这 服务器 公认 A 篡夺 XFH, A HTTP协议 你头脑里 为了 确认 这 目标 主持人 指定的 在 A HTTP协议 要求。 这 EVA 研究人员 寻找 那 他们 可以 使用 A 锻造 欣丰华 有 建造 网址 的 他们的 选择。</p> <p> 通常情况下, 这 电子邮件 将会 包含 A 有效的 关联 任务 有 这 CocoaPods.org 服务器 这样的 像:</p> <figure class= 有效的验证电子邮件是什么样的。 放大 / 如何 A 有效的 确认 电子邮件 看起来。 E.V.A. 信息 安全

这 研究人员 可以 反而 改变 这 网址 有 带领 有 他们的 自己的 服务器:

经过操作后的电子邮件检查。 放大 / A 电子邮件 确认 后 他 有 已经 被操纵。 E.V.A. 信息 安全

这 脆弱性, 跟进 作为 CVE-2024-38367, 居住过 在 这 会话控制器 班级 的 这 树干 服务器 来源 编码, 哪个 把手 这 会议 验证 网址。 这 班级 用途 这 会话控制器.rb 机制, 哪个 优先 这 欣丰华 在 这 原来的 主持人 头...

What's Your Reaction?

like

dislike

love

funny

angry

sad

wow