根据乔治亚理工大学的学生今天分享的数据,最近的苹果芯片存在两种新的投机执行攻击。
这两种安全漏洞被称为SLAP和FLOP,攻击者可能利用恶意网页来窥探其他网页的内容,从而远程访问用户的浏览历史、信用卡数据、电子邮件、位置信息等。攻击不需要物理访问设备,可以通过恶意网站绕过苹果的浏览器保护措施来执行。
多款苹果A系列和M系列芯片受到影响,包括M2及以后的系列,以及A15及以后的系列,具体设备包括:
SLAP和FLOP分别在2024年5月和2024年9月向苹果披露,虽然这些攻击尚未被修复,但报告问题的研究人员被告知,苹果计划在即将发布的安全更新中解决这些漏洞。
苹果表示,目前尚未修复这些漏洞。他们在告诉公众的声明中表示:“我们感谢研究人员的合作,这一概念证明增强了我们对这些类型威胁的理解。基于我们的分析,我们认为这个问题对用户构成的即时风险不大。”
SLAP影响Safari浏览器,而FLOP影响Safari和Chrome。其他浏览器如Firefox可能也会受到影响,但尚未经过测试。目前没有证据表明SLAP和FLOP已在现实中被利用。
有关SLAP和FLOP工作原理的详细信息可以在专门的网站上找到。