蘋果周五推送了iOS 15的修正更新15.0.1，但該版本似乎主要針對可用性問題，因為上周公開披露的三個零日漏洞并沒有得到修補。9月，安全研究員丹尼斯·托卡雷夫(化名illusionofcha0s)稱，蘋果公司忽視了多份與新發(fā)現(xiàn)的零日漏洞有關(guān)的報告，這些漏洞存在于該公司的移動操作系統(tǒng)iOS中。

[[427041]]

托卡列夫在一篇博文中說，他在3月10日至5月4日期間向蘋果公司報告了四個缺陷，雖然一個問題在iOS 14.7中得到了修補，但其他三個仍然處于活躍狀態(tài)。

這位安全研究員周五在Twitter上報告說，這三個問題在最新的iOS 15.0.1中仍然存在。

他自己承認(rèn)，剩下的零日漏洞并不緊急，其中一個涉及到一個錯誤，黑客必須以某種方式騙過蘋果審查人員允許其進(jìn)入應(yīng)用程序商店，才可以使惡意制作的應(yīng)用程序讀取用戶的蘋果ID信息。

不過，蘋果公司對通過"漏洞賞金計劃"報告的這些漏洞的處理方式讓托卡列夫感到很不滿意，他在9月底寫了一篇博文，詳細(xì)介紹了他與科技巨頭團隊的互動。據(jù)這位研究人員說，蘋果公司沒有列出它在iOS 14.7中修補的安全問題，也沒有在隨后的安全頁面更新中添加有關(guān)該缺陷的信息。

illusionofchaos當(dāng)時寫道："當(dāng)我面對他們時，他們向我道歉，向我保證這是由于處理問題而發(fā)生的，并承諾在下次更新的安全內(nèi)容頁面上列出它。從那時起，有三次類似的情況，他們每次都違背了他們的承諾。"

蘋果公司看到了托卡雷夫的博文，并再次表示歉意。該公司表示，截至9月27日，其團隊仍在調(diào)查其余三個漏洞。托卡列夫上周公開了這些缺陷，以符合道德黑客批評蘋果公司的Bug Bounty計劃和該公司對公共安全研究人員的一般處理方式，稱其缺乏溝通、在賞金支付上也有問題。

本周早些時候，研究人員Bobby Rauch公開披露了一個AirTag漏洞，此前蘋果公司沒有回答關(guān)于該漏洞的基本問題，也沒有回答Rauch是否會因發(fā)現(xiàn)該漏洞而得到獎勵。該漏洞允許攻擊者插入代碼，當(dāng)設(shè)備在丟失模式下被掃描時，可以將用戶重定向到一個惡意的網(wǎng)頁上。