A Google két nulla napos biztonsági rést talál az iOS rendszerben

Az Android általában nagyobb figyelmet fordít a mobil kártevőkre, mint az iOS, mivel a Google platformja támogatja a harmadik féltől származó alkalmazásboltokat. Az Apple falakkal körülvett megközelítését erősségnek tekintik a biztonság terén, de a legfrissebb iOS-frissítés állítólag két, a Google kutatói által feltárt súlyos sebezhetőséget javított be. Az iPhone biztonságban van, ha ma frissítik, de a Google szerint a kiaknázások a vadonban aktívak voltak.

Azokat a fenyegetéseket, amelyek a foltok előtt már aktívak online, „nulla napos” biztonsági réseknek nevezzük. Ezeknek a hibáknak a felkutatása a Google Project Zero csapatának küldetése. Az iOS platform nem nyílt forráskódú, így az Apple számos biztonsági rést kijavíthat belsőleg anélkül, hogy valaha is nyilvánosságra hozná azokat. A Project Zero azonban a CVE-2019-7286 és a CVE-2019-7287 jelentést küldte az Apple-nek, miután látta, hogy a csaló alkalmazások a felhasználók ellen használják őket. A támadások mértéke nem ismert, de az Apple iOS 12.1.4 változási naplója megerősíti, hogy ezeket most javítják.

A Google Ben Hawkes nyilvánosságra hozta a hibákat a Twitteren, rámutatva, hogy már ott vannak. Mivel az Apple a Google jelentése előtt nem tudott a biztonsági résekről, nem tudta volna új alkalmazásokat átkutatni, hogy megpróbálja-e kihasználni őket. Nem valószínű, hogy további részleteket fogunk kapni a támadásokról, például arról, hogy hány rosszindulatú alkalmazás került be az App Store-ba. Az Apple azonban valószínűleg már eltávolított mindent a CVE-2019-7286 és a CVE-2019-7287 célzástól.



A CVE-2019-7286 hatással van az iOS Foundation Framework-re, amely az operációs rendszer alapvető eleme. Az alkalmazások ezt a hibát memóriasérülésre célozva használhatják megemelt jogosultságok megszerzésére. Így egy alkalmazás hozzáférhet a felhasználói adatokhoz, amelyeknek nem kellett volna.

A másik nulla napos, CVE-2019-72867 az I / O Kit modul után megy. Ez ismét az iOS központi része. Az I / O Kit kezeli az eszköz hardvere és szoftvere közötti interfészeket. A sérülékenységet kihasználó alkalmazások memóriasérülésekkel tetszőleges kódot futtathatnak kerneljogosultságokkal. A támadó ezzel a hibával bármit megtehet a telefonján, amelyre képes lenne.

Az iOS 12.1.4 az összes iDevice számára elérhető az iPhone 5s, 6. generációs iPod Touch, iPad Air és újabb verzióktól. Ez a frissítés kijavítja azt a csúnya FaceTime hibát is, amely lehetővé teszi az emberek lehallgatását, mielőtt válaszolna a hívásokra. Ha ez nem lenne elég a frissítéshez, akkor talán két új, nulla napos sebezhetőség is megtörténik.

Copyright © Minden Jog Fenntartva | 2007es.com