![Pinterest](https://pinterest.com/pin/create/button/?url=https://zh-cn.root-nation.com/ua/news-ua/it-news-ua/ua-chaios-iphone-crash/&media=https://zh-cn.root-nation.com/wp-content/uploads/2018/01/iPhone-chaiOS.jpg&description=На днях в iOS була виявлена уразливість chaiOS, яка веде до збою програми "Messages", подальшим "зависанням" і перезавантаженю смартфона. Це відбувається при відправці за допомогою повідомлення спеціально розробленого url-посилання.){kind=link}
前几天,在 iOS 中发现了一个漏洞,导致“消息”程序失败,随后“冻结”并重启智能手机。 当您在智能手机上收到一条带有专门设计的 url 链接的消息时,就会发生这种情况。
该漏洞由开发人员 Abraham Masri 发现,并将其命名为“chaiOS”。 该漏洞的实质是“消息”应用程序在发送 url 链接时预加载页面并显示其预览。 Masri 说他创建了一个托管在 GitHub 上的网页,并在其中填充了数十万个字符。 程序员假设程序崩溃是由于尝试预加载一堆不必要的信息造成的,这随后导致操作系统崩溃并导致死机和重启。
从用户报告来看,该漏洞的影响好坏参半。但其中最常见的情况是导致“消息”程序“崩溃”、系统制动、设备完全冻结,有时甚至导致“重新启动”(iOS 重新加载 SpringBoard 软件并使用户返回锁定屏幕)。
开发者在 iPhone X 和 iPhone 5S 上测试了 chaiOS。 然后他报告说,该漏洞影响 iOS 从 10.0 版到 11.2.5 beta 5 版。该漏洞也可能导致“消息”在 macOS 上崩溃,因此 MacBook 用户也应该保护他们的设备。
幸运的是,目前找到有效的 url 副本并不那么容易。 该恶意链接被发布到 GitHub 上并被大量第三方复制后,该网站决定将其删除。 Masri 本人不会再次上传该页面的工作版本。 GitHub 上的预上传仅用于引起注意 Apple.
为了读者的安全,我们发布了一份关于保护 iOS 设备的简短指南:
- 屏蔽漏洞所在站点的域。 如果链接指向 GitHub 资源,则转到设置 - Safari - 基本 - 限制 - 启用限制(输入任何 4 位限制密码) - 网站 - 限制成人内容 - (“绝不允许”小节)添加站点 - GitHub .io。
- 收到消息后快速删除。 关于此方法的有效性,用户评价不一。 这完全取决于用户删除带有恶意链接的邮件的速度。
- 将 iPhone 重置为出厂设置。 这是最后的手段,因为在使用后,所有未保存的信息都会被删除。 如果您没有系统的备份副本,那么最好放弃此措施。
- 等待补丁。 不幸的是,不知道该公司是否正在努力解决这个问题,因为来自官方的评论 Apple 直到它到达。
这类漏洞对于 iPhone 固件来说并不陌生。 这种恶意链接导致该公司的智能手机在 2015 年和 2016 年冻结。 鉴于去年年底该公司进行了大量固件修复 Apple,仍然希望该公司在来年对安全问题更加关注和响应。
Dzherelo: theverge.com