![Pinterest](https://pinterest.com/pin/create/button/?url=https://zh-tw.root-nation.com/ua/news-ua/it-news-ua/ua-chaios-iphone-crash/&media=https://zh-tw.root-nation.com/wp-content/uploads/2018/01/iPhone-chaiOS.jpg&description=На днях в iOS була виявлена уразливість chaiOS, яка веде до збою програми "Messages", подальшим "зависанням" і перезавантаженю смартфона. Це відбувається при відправці за допомогою повідомлення спеціально розробленого url-посилання.){kind=link}
前幾天,iOS 中發現了一個漏洞,導致“消息”程序失敗,隨後“凍結”並重新啟動智能手機。 當您在智能手機上收到帶有專門設計的 url 鏈接的消息時,就會發生這種情況。
該漏洞是由開發人員亞伯拉罕馬斯里發現的,他將其命名為“chaiOS”。 該漏洞的本質是“消息”應用程序在發送 url 鏈接時,會預加載頁面並顯示其預覽。 Masri 說他創建了一個託管在 GitHub 上的網頁,並在其中填充了數十萬個字符。 程序員假設程序崩潰是由於嘗試預加載一堆不必要的信息而導致的,這隨後會導致操作系統崩潰並導致凍結和重新啟動。
從用戶報告來看,漏洞的影響好壞參半。但其中最常見的情況是導致「訊息」程式「崩潰」、系統煞車、裝置完全凍結,有時甚至導致「重新啟動」(iOS 重新載入 SpringBoard 軟體並使用戶返回鎖定畫面)。
開發者在 iPhone X 和 iPhone 5S 上測試了 chaiOS。 然後他報告說,該漏洞影響 iOS 從 10.0 版到 11.2.5 beta 5 版。該漏洞也可能導致“消息”在 macOS 上崩潰,因此 MacBook 用戶也應該保護他們的設備。
幸運的是,目前找到有效的 url 副本並不容易。 在惡意鏈接被發佈到 GitHub 並被大量第三方復制後,該網站決定將其刪除。 Masri 本人不會再次上傳該頁面的工作版本。 GitHub 上的預上傳只是為了引起注意 Apple.
為了讀者的安全,我們發布了一份關於保護 iOS 設備的簡短指南:
- 阻止漏洞所在站點的域。 如果鏈接指向 GitHub 資源,則轉到設置 - Safari - 基本 - 限制 - 啟用限制(輸入任何 4 位限制密碼) - 網站 - 限製成人內容 - (“不允許”小節)添加站點 - GitHub .io。
- 收到消息後快速刪除。 關於這種方法的有效性,用戶評價不一。 這完全取決於用戶刪除帶有惡意鏈接的消息的速度。
- 將 iPhone 重置為出廠設置。 這是最後的手段,因為在使用後,所有未保存的信息都會被刪除。 如果您沒有系統的備份副本,那麼最好放棄此措施。
- 等待補丁。 不幸的是,目前尚不清楚該公司是否正在努力糾正這個問題,因為來自官方的評論 Apple 直到它到達。
這類漏洞對 iPhone 固件來說並不新鮮。 此類惡意鏈接導致該公司的智能手機在 2015 年和 2016 年凍結。 鑑於去年年底該公司進行了大量固件修復 Apple,仍然希望公司在來年對安全問題更加關注和響應。
資源: theverge.com