AppleiOS15.0.2正式版修复了一个零日漏洞,但没有感谢安全研究员向苹果报告了3个iOS零日漏洞,并批评苹果反应慢,动作慢,三个报告中的一个都不打补丁错误及时。现在看来,苹果已经修复了今年早些时候丹尼斯·托卡列夫(DenisTokarev)发现的iOS15系统中的一个零日漏洞,但苹果并没有将功劳归功于他,也没有感谢他。9月,Tokarev表示,在等了长达六个月才向Apple报告一些错误后,他决定公开这些信息。“十天前,我要求一个解释,当时被警告说,如果我没有得到解释,研究将被公开。我的要求被忽略了,所以我按照所说的去做。我的行为与负责任的披露准则(谷歌零项目在向供应商ZDI报告后90天内披露漏洞)。我等了更长的时间,在一个案例中长达半年。”9月下旬,Tokarev分享说他收到了苹果公司的回复,称他们仍在处理这些“问题”,并为延误道歉。在他9月份的博客文章中,Tokarev详细介绍了一个被操纵的零日漏洞(第1个),该漏洞允许从AppStore安装的任何应用程序获取个人用户数据,例如AppleID电子邮件和全名、AppleID授权令牌、完整文件系统对CoreDuet数据库和其他数据库的读取访问权限。现在Tokarev说他发现苹果已经在iOS15.0.2安全更新中修复了它在游戏中发现的零日漏洞,但没有相信他。Apple告诉他,当Tokarev发现并报告给Apple的第一个零日漏洞在iOS14.7正式版(7月19日)中得到修复时,他并没有得到奖励。“由于处理问题,您的奖励将包含在即将到来的更新中的安全公告中。对于给您带来的不便,我们深表歉意”。在iOS15.0.2修复了第二个漏洞并归功于“一位匿名研究人员”之后,托卡列夫表示苹果确实在六小时内回复了他,但显然没有办法正确修复。引用他的问题。与此同时,Apple仍未对他发现的针对iOS14.7中修复的analyticsd零日漏洞的补偿做出回应。Tokarev被要求对Apple的最新电子邮件保密,到目前为止他已经遵守了这一要求。
