近日,苹果公司推出了iOS的新升级版本——9.2.1,该版本并未在功能上进行提升,而是主要将iOS系统的bug和漏洞进行了安全修复,并将在iOS中隐藏了近两年的cookie分享漏洞进行了修补。
苹果推出了更新版本iOS 9.2.1
据悉,该编号为CVE-2016-1730的漏洞涉及iOS与强制网络认证(Captive Portals)互动时处理Cookie Stores的方式。Captive Portals是一种强制认证网络入口的方法,一般是通过弹出窗口来认证特定网络的使用权限,经常被用在开启机场、酒店或咖啡厅的免费或付费Wi-Fi网络服务。
新版本可修补cookie分享漏洞
然而安全专家发现Captive Portals内建的浏览器出现了漏洞,能与Safari浏览器分享所储存的用户cookie,而将用户的信息置于外泄的危险境地。
据分析,利用该漏洞黑客会建立一个公共的Wi-Fi网络来等待猎物上钩,一旦受害者接入该网络时,就会触发Captive Portals内建的浏览器。这时,黑客不仅可以将受害者引入设定的钓鱼网站,也允许其将事先准备好的恶意内容与Safari分享,例如恶意的Javascript等。
同时,利用这一漏洞还能用来窃取用户的个人身份cookie,当用户使用Safari访问特定网站时,就能让用户通过黑客控制的帐号登入,或是执行缓存污染攻击。因此,建议使用苹果iOS的用户尽快更新至最新版本,以防止受到该漏洞的威胁。
