媒体关注后 苹果公司承诺修复长期被忽视的家长控制漏洞

媒体关注后 苹果公司承诺修复长期被忽视的家长控制漏洞 斯特恩在一篇关于"屏幕时间"的报道中说，她可以在儿子的iPad 上使用一串字符，绕过防止访问色情、暴力图片等网站的限制。她可以在运行 iOS 和 iPadOS 15、16 和 17 以及macOS Sonoma 的设备上绕过"屏幕时间"。苹果公司在给斯特恩的一份声明中说，它意识到"开发人员的底层网络技术协议存在问题，允许用户绕过网络内容限制"。苹果计划在"下一次软件更新"中修复该问题。接受 Stern 采访的安全研究人员表示，该漏洞最早是在 2021 年 3 月报告给苹果公司的，当时发现输入一串字符就可以绕过家长实施的网站限制和公司设备上的网络黑名单。黑客可以绕过 iPhone、iPad 和 Mac 上的限制。苹果公司告诉研究人员这不是一个安全问题，并指示他们使用反馈工具提交报告。报告提交后，苹果公司没有任何回复。研究人员试图重新向苹果公司提交该漏洞，但没有得到任何回复。苹果公司在长达三年的时间里一直忽视了这个问题，直到有人联系到 Stern 并公布了这个问题。由于发现该问题的两名安全研究人员从未分享过该解决方法，因此该解决方法似乎并不为人所知，也未被广泛利用。除了承诺修复外，苹果还表示将致力于改进接收和升级错误报告的流程。斯特恩的报告强调了"屏幕时间"的其他几个错误，包括应用程序限制、"屏幕时间"使用图表、更多时间通知和"要求购买"等问题。苹果在 iOS 17.5 中改进了"屏幕时间"，对应用程序和设备使用跟踪、应用程序限制和时间请求进行了修复，但该公司表示在即将发布的软件版本中还会有更多更新。 ... PC版： 手机版：

Apple 发布更新修复被以色利NSO间谍软件公司利用的安全漏洞

Apple 发布更新修复被以色利NSO间谍软件公司利用的安全漏洞 周一，在安全研究人员发现一个漏洞后，苹果公司针对其产品中的一个关键漏洞发布了紧急软件更新，该漏洞允许以色列国家统计局集团的高度侵入性间谍软件感染任何人的 iPhone、iPad、Apple Watch 或 Mac 电脑，而无需点击。 在多伦多大学网络安全监管机构Citizen Lab 的研究人员发现一名沙特激进分子的 iPhone 感染了 NSO 的高级间谍软件之后，Apple 的安全团队自周二以来一直在夜以继日地开发修复程序。

iOS 16.6.1 更新修复严重漏洞    Apple 呼吁所有用户尽快更新

iOS 16.6.1 更新修复严重漏洞    Apple 呼吁所有用户尽快更新 今天凌晨，苹果发布了 iOS 16.6.1 版本更新，主要专注于修补两大安全漏洞，而非新增任何功能。苹果建议所有支援 iOS 16 版本的 iPhone 用户尽快安装此次更新，以确保系统的安全性。   iOS 16.6.1 版本更新主要针对 ImageIO 和Wallet 两大漏洞进行修复，公民实验室发现，黑客能透过 ImageIO 漏洞制作恶意图像进行攻击，当使用者打开这些图片时，系统将产生安全漏洞 ，使黑客可以执行任意代码。   除了修复 ImageIO 漏洞之外，苹果表示该漏洞会涉及 PassKit 附件错误，PassKit 是一个允许开发人员将 Apple Pay 整合到其应用程序中的框架。 除了推出 iOS 16.6.1 版本之外，也同步推出 iPadOS 16.6.1、watchOS 9.6.2、macOS 13.5.2 更新，以解决相同的安全漏洞。 、

微软发现苹果 macOS 漏洞，可植入恶意软件

微软发现苹果 macOS 漏洞，可植入恶意软件 微软于今年 7 月发现了一个 macOS 漏洞，可以绕过 Gatekeeper 安全机制执行恶意软件。微软将发现的这个 macOS 漏洞称之为“Achilles”，并通过“Coordinated Vulnerability Disclosure”将其告知给了苹果公司。该漏洞允许攻击者绕过苹果的 Gatekeeper 安全机制，在 Mac 设备上植入任意恶意软件。 苹果公司在收到微软的报告之后，在本月 13 日发布的 macOS 13（Ventura）、macOS 12.6.2（Monterey）和 macOS 1.7.2（Big Sur）更新中修复了这个漏洞。

苹果发布更新修复两个关键的安全漏洞

苹果发布更新修复两个关键的安全漏洞 苹果公司本周为iPhone、iPad和Mac发布了重要的软件更新，修复了苹果公司已知的被攻击者积极利用的两个安全漏洞。 这两个漏洞是在WebKit（为Safari和其他应用程序提供动力的浏览器引擎）和内核（基本上是操作系统的核心）发现的。这两个漏洞同时影响了iOS和iPadOS以及macOS Monterey。 苹果公司说，如果有漏洞的设备访问或处理 "恶意制作的网页内容可能导致任意代码执行"，WebKit的漏洞就会被利用，而第二个漏洞允许恶意应用程序 "以内核权限执行任意代码"，这意味着对设备的完全访问。这两个缺陷被认为是相关的。... 苹果公司表示，iPhone 6s及以后的机型、iPad Air 2及以后的机型、iPad第五代及以后的机型、iPad mini 4及以后的机型和iPod touch（第七代），以及所有iPad Pro机型都受到影响。

#安全资讯：研究人员公布 Telegram 已经修复的高危安全漏洞，该漏洞暴露超过一个月才被彻底修复 漏洞仅存在于 Telegr

#安全资讯：研究人员公布 Telegram 已经修复的高危安全漏洞，该漏洞暴露超过一个月才被彻底修复 漏洞仅存在于 Telegram for Android 版 利用漏洞攻击者可以将恶意 APK 文件伪造成视频，Telegram 会自动下载并尝试调用此漏洞已在 7 月 11 日发布的 10.14.5 版中修复 4 月份时就有消息传出即时通讯应用 Telegram 桌面版存在高危安全漏洞，攻击者只需要向用户发送特制的媒体文件即可在无需用户交互的情况下完成感染，该漏洞依赖 Telegram 默认开启的自动下载媒体文件功能。 今天知名安全软件开发商 ESET 的研究人员披露 Telegram #另一个高危安全漏洞，#该漏洞至少在 6 月 6 日就被黑客发现并利用直到 7 月 11 日Telegram 在v10.14.5 版中才完成修复 该漏洞本质上与 Telegram 桌面版出现的漏洞类似，#都是利用 Telegram API 的一些缺陷将特制文件伪造为媒体这样就可以在 Telegram 自动下载。 在这里还是继续建议 Telegram 用户关闭自动媒体文件自动下载功能，避免攻击者利用类似的漏洞发起针对性的攻击