Samuel Groß și Natalie Silvanovich din echipa Google Project Zero au făcut publice detaliile despre 5 vulnerabilități critice din iMessage, pentru patru dintre ele oferind și codul capabil să ducă la capăt exploit-urile. Problemele în cauză au fost raportate deja către Apple și sunt reparate în update-ul iOS 12.4, mai puțin una care nu a fost reparată complet.
Patru dintre aceste vulnerabilități permiteau atacuri de la distanță, via iMessage, care nu presupuneau interacțiunea utilizatorului pentru a oferi acces complet de la distanță. Singura vulnerabilitate pentru care nu sunt oferite încă detalii complete este CVE-2019-8641, problemă ce nu a fost reparată complet de către Apple.
Problemele în cauză sunt:
- CVE-2019-8647 (RCE via iMessage) — problemă din Core Data framework.
- CVE-2019-8662 (RCE via iMessage) — similară cu cea de mai sus, legată de QuickLook.
- CVE-2019-8660 (RCE via iMessage) — Memory corruption pentru Core Data framework și Siri component.
- CVE-2019-8646 (File Read via iMessage) — Problemă în Siri și Core Data iOS ce permitea citirea fișierelor de pe dispozitivul iOS.
Pentru că există deja cod pentru toate cele de mai sus, vă sfătuiesc să faceți rapid update-ul lansat de Apple săptămâna trecută. Și să nu credeți că ceea ce a fost reparat are legătură doar cu sincronizarea wireless!
via THN