蘋果公開感謝騰訊玄武實驗室只因一個漏洞，我跟發現漏洞的人聊了聊

文章稱，北京時間9月20日凌晨，蘋果正式發布iOS 11操作系統，這一系統相較iOS 10迎來多項重大更新，且可以支持自iPhone 5S以後的所有機型。在系統升級的同時，蘋果公司在官網同步發布了iOS 11以及Safari 11的安全更新，其中特彆強調，蘋果已修復了騰訊安全玄武實驗室提交的兩大安全漏洞，並為此表示感謝。

騰訊安全玄武實驗室發現的其中一個漏洞編號為CVE -2017-7085，具體威脅表現為，在iOS 11和Safari 11之前的版本中，當用戶瀏覽網路時，可能會因訪問惡意網站而導致地址欄被篡改，這將對用戶隱私安全帶來極大威脅。目前，蘋果已通過狀態管理的改進解決了用戶界面不一致問題，修復了該漏洞。

同時，蘋果也對騰訊安全玄武實驗室提供的另一個Webkit高危漏洞表達額外感謝。

對此，虎嗅電話採訪了發現上述漏洞的玄武實驗室的研究人員徐少培，他告訴虎嗅，上述兩個漏洞是今年4月份發現的，後來提交給蘋果，但直到iOS 11才修復。

蘋果更新有自己的周期，並不是說你今天提交它明天或後天就給你修復了。「蘋果更新一個漏洞一般3個月或半年，我之前報（給蘋果）的一個漏洞，2年後才修復。」徐少培說。

上文提及的兩個漏洞屬於URL欺騙漏洞，或稱地址欄欺騙，屬於UI前端的漏洞，可以讓黑客篡改用戶搭建的URL。比如當用戶訪問谷歌，假如被黑客修改了後，你訪問谷歌的某個鏈接，雖然你看到的那個頁面也寫著谷歌，但頁面內容其實已經被更改了，如果此時頁面上讓你輸入用戶名和密碼，用戶很可能就會輕易上當、被釣魚。

根據騰訊安全實驗室介紹，騰訊安全玄武實驗室就因協助蘋果發現漏洞而獲得官方致謝，這也是國內少數安全研究團隊能夠獲得的特別認可。

TK表示，安全技術和解決方案需要軟硬體廠商以及信息安全商場共同面對，騰訊安全玄武實驗室將通過不斷的核心技術攻關，持續幫助廠商提升產品的安全性能，保障廣大用戶的上網安全。

但據虎嗅了解，蘋果更新漏洞特別慢，除非有特別嚴重、高危的漏洞，蘋果才會發新版本更新，否則一般3個月、半年才更新一次。

另外，黑客如果發現了非常重大的漏洞後也不太可能告訴蘋果。比如在網路戰的時候，給你發一個簡訊，你用蘋果的iMessage接收的話，你點一下它，它可能就會直接控制你的手機。這種漏洞，黑客發現了基本上也不會報給蘋果，這種會用在各國網路戰之中。

但也有可能會被蘋果截獲：「卧槽，有這麼大的bug！」這時候蘋果就會加班加點推出一個更新版本堵住漏洞。

安全領域的黑客故事，永遠比我們看到的精彩。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！