苹果在上周释出iOS 12.4 ，?直到今天早上突然紧急关闭旧有iOS 版本，主要是这次新版修补了高达36个安全漏洞，其中有6个重大漏洞全来自Google 安全团队Project Zero 成员Natalie Silvanovich 和Samuel Groß 所提供，分别为CVE-2019-8624、CVE-2019-8641、CVE-2019-8646、CVE-2019-8647、CVE-2019-8660和CVE-2019-8662 安全修补，Silvanovich 也决定会在下周黑帽安全大会上分享其中相关细节，并且现场展示攻击iPhone。

Project Zero 团队所发现到的其中5个漏洞都属于iMessage 漏洞，根据研究人员表示，其中有4个漏洞只要攻击者向受害者发送漏洞iMessage 讯息，只要用户打开后，马上就能够让恶意代码立即执行，也算是非常严重的漏洞，不过大多数都已经在iOS 12.4 上遭到修补。

这六个漏洞分别为

CVE-2019-8647(代码)：远端攻击者可能得以执行任意程式码。

CVE-2019-8660(代码)：远端攻击者可能导致应用程式意外终止或执行任意程式码。

CVE-2019-8662(代码)：远端攻击者可能得以在应用程式内触发「使用释放后记忆体出错」，使不受信任的NSDictionary被还原序列化。

CVE-2019-8641(代码保密)：远端攻击者可能导致应用程式意外终止或执行任意程式码。

CVE-2019-8624(代码)：远端攻击者可能得以泄漏记忆体。

CVE-2019-8646(代码)：远端攻击者可能得以泄漏记忆体。

其中一个CVE-2019-8641 漏洞被称为「无互动」漏洞，则是没有被公布细节，根据Silvanovich 透露从苹果报告内确定都还尚未完美真正修补这个漏洞，防止会被人滥用，因此也让她不考虑公布漏洞细节。

根据ZDNet 从漏洞交易平台Zerodium 价目标上能确认，每个漏洞项目在骇客市场都超值，价格都能超过100 万美元，如果在黑市上贩售价格可拉高到500万美元一个。根据阿拉伯联合大公国安全漏洞研究公司Crowdfense 预估，这些漏洞是非常有价值，价格预估会在200万到400万美元之间，所以总价值会是在2400 万美元。

Google安全团队成员Silvanovich 也准备在下周到美国拉斯维加斯举行的黑帽安全大会(Black Hat)分享相关细节，根据简介说明，更会展示如何让用户不需要互动就能攻击iPhone ，并可利用SMS、MMS、Visual Voicemail、iMessage和Mail 中实现漏洞。

如今对于一位没有打算越狱用户，也建议是离即更新到iOS 12.4 版本上，防止自己设备暴露在风险之下。