不可修補的 iOS 漏洞可能導致 iPhone 4s 到 iPhone X 永久越獄

近日，一名安全研究人員釋出了據稱是 iPhone 4s 直至 iPhone X 的永久性、不可修補的 bootrom 漏洞，這可能導致永久越獄。Twitter 使用者 axi0mX 今天分享了這個漏洞，並且命名為 “checkm8”，如果該漏洞進一步加以利用，將導致史詩般的越獄。

axi0mX 表示：“我今天釋出的只是一個漏洞，並不是支援 Cydia 的越獄，這是針對數億個 iOS 裝置，永久性不可修補的 bootrom 漏洞，大多數 iPhone 和 iPad 都容易受到影響，從 iPhone 4S（A5 晶片）到 iPhone 8 和 iPhone X（A11 晶片）。研究人員和開發人員可以使用它轉儲 securerom，使用 AES 引擎解密金鑰包，並降級裝置以啟用 JTAG。你仍然需要其他硬體和軟體才能使用 JTAG。“

在 2018 年夏季釋出的 iOS 12 Beta 中，蘋果修補了 iBoot USB 程式碼中的一個嚴重漏洞。此漏洞只能通過 USB 觸發，並且需要物理訪問。它不能被遠端利用。儘管蘋果已經給出了補丁，但是黑客們分析發現，此漏洞還是可以加以利用。黑客已經在 GitHub 上釋出了這個最新漏洞和相關工具，並警告利用這個漏洞的時候可能導致裝置變磚。

值得注意的是，蘋果已經擴充套件了其漏洞賞金計劃，並將於明年開始為開發人員提供越獄前的裝置。這將為該計劃中的人員提供一個前所未有的，受到蘋果支援的 iOS 安全研究平臺，該平臺具有SSH，root shell和高階除錯功能。

來源：cnBeta.COM

更多資訊

微軟發現新型 Nodersok 惡意軟體已經感染了數千臺個人電腦

微軟發現全球數千臺 Windows 電腦感染了一種新的惡意軟體，該惡意軟體下載並安裝了 node.js 框架的副本，以將受感染的系統轉換為代理，執行點選欺詐。該惡意軟體被稱為 Nodersok 或者 Divergent，最初是在今年夏季發現的，通過惡意廣告在使用者電腦上強行下載 HTA 檔案進行傳播。

來源：cnBeta.COM
詳情連結：https://www.dbsec.cn/blog/article/5155.html 

付款碼截圖發給其他人後被盜刷？微信：不存在的

假期即將來臨，出遊愉快“剁手”時切記注意資金安全。近日，關於微信、支付寶付款碼截圖、數字洩露被盜刷的訊息再次出現。今天，微信支付官方微博發文稱，目前，微信已通過技術手段切斷“將截圖發給其他人後被盜刷”的可能性。

來源：cnBeta.COM
詳情連結：https://www.dbsec.cn/blog/article/5156.html 

現在大多數垃圾郵件都包含惡意 URL，而不是檔案附件

根據網路安全公司 Proofpoint 收集的遙測資料，在今年上半年傳送的大多數惡意電子郵件垃圾郵件（malspam）包含指向惡意檔案的連結，而不是檔案附件。更準確地說，在 2019 年第二季度（4月、5月和6月）傳送的所有垃圾郵件中，有 85％ 包含指向惡意檔案下載的連結，而不是電子郵件中附加的實際惡意檔案。

來源：ZDNet
詳情連結：https://www.dbsec.cn/blog/article/5157.html 

工信部就網路安全產業發展徵意見：2025 年規模超 2000 億

9月27日，工信部官網刊載《關於促進網路安全產業發展的指導意見(徵求意見稿)》(以下簡稱“《意見》”)，面向社會公開徵求意見。《意見》提出，到 2025 年，培育形成一批年營收超過 20 億的網路安全企業，形成若干具有國際競爭力的網路安全骨幹企業，網路安全產業規模超過 2000 億。

來源：中新網
詳情連結：https://www.dbsec.cn/blog/article/5158.html 

（資訊來源於網路，安華金和蒐集整理）

訂閱“Linux 中國”官方小程式來檢視