之前公布的一个漏洞:阿拉伯语的字符串可能导致 OS X 10.8 和 iOS 6 应用程序崩溃,而在即将推出的苹果操作系统: iOS 7 和 OS X 10.9 中 Bug 已修复。但苹果被认为在 6 个月前已经知道这个 Bug ,但仍然没有修复目前公众可用的最新版本操作系统( iOS 6 和 OS X 10.8)。
越狱插件开发者已经着手修补 bug ,直到苹果发布一个完整的修复:
I have a fully working patch that unfortunately applies only in MobileSafari. The more general fix I came up with is not a clean solution.
— Filippo Bigarella (August 29, 2013
我已经完成了一个仅适用于 Safari 浏览器的补丁。我想出的更普遍的修复方法似乎不能完全解决问题
—— Filippo Bigarella 2013 年 8 月 29 日
这个 Bug 任何其他操作系统上无法被利用,并且不会导致任何人可以远程访问你的计算机。但是收到这些字符可能导致短信或其他应用无法使用,或导致 Safari 浏览器崩溃,或者不能扫描无线网络(如果该字符串作为一个 WiFi 网络的名称)。
早在2009年,iOS 3.0 的一个脆弱的短信 Bug ,允许他人在收件人的手机上远程执行代码。 3.0.1 更新推出了补丁。
希望苹果在不久的将来推出一个安全修复程序,以确保这个漏洞不会存在太久。
更新:
开发者已经发布了一个插件,修复应用程序不能打开的问题。这个补丁尚未经过我们测试或验证,在浏览时可能会导致其他问题。
WebCore ‘dumb’ patch to avoid crashes with today’s malicious character sequence: https://t.co/RZsUGxBdd6 (deb available under “release” tab)
— Filippo Bigarella (@FilippoBiga) August 29, 2013
You can install that to open the apps that are currently crashing due to that bug. It’s not a definitive solution, but it’ll do for now.
— Filippo Bigarella (@FilippoBiga) August 29, 2013
译者注1:上面两条推文的大意是在这里可以下载到插件的 deb 文件手动安装,解决应用闪退的问题
译者注2:译者已经完成插件的测试,在 Safari 浏览器、微博官方客户端、随享Pro 中均不会导致闪退后无法进入应用的问题,一切正常。
插件安装方法:下载 deb 后将文件用 91助手 放入系统的如下目录/private/var/root/Media/Cydia/AutoInstall/ 后重启设备,插件安装完成,自动生效。
补充:
微信朋友圈崩溃解决方法:微信 -> 「我」->「我的相册」->点击「今天」那里的相机,发张照片即可恢复。
另外一些方法,如卸载应用再安装,用一些方法刷掉含阿拉伯文的字符等等,建议中招的读者尝试。但切勿将那串阿拉伯文字符到处转发,也不要再转发含有字符串的内容。