Los investigadores de Google revelan PoC para 4 Defectos iOS extraíbles

Los investigadores de Google revelan PoC para 4 Defectos iOS extraíbles
5 (100%) 6 votos

Los investigadores de seguridad informática de Google finalmente revelaron detalles y explotaron pruebas del concepto para 4 fuera de 5 vulnerabilidades de seguridad que podrían permitir que atacantes remotos golpeen Apple Dispositivos IOS simplemente enviando un mensaje peligroso a iMessage.

Todas las vulnerabilidades, que no requer√≠an la interacci√≥n del usuario, se informaron de manera responsable Apple por Samuel Gro√ü y Natalie Silvanovich de Google Project Zero, que la compa√Ī√≠a parch√≥ la semana pasada con el √ļltimo lanzamiento de iOS 12.4 actualizar.

Cuatro de estas vulnerabilidades son problemas de "interacción" sin uso de memoria y corrupción que podrían permitir a los atacantes remotos ejecutar código arbitrario en los dispositivos iOS afectados.

Sin embargo, los investigadores a√ļn publicaron detalles y exploits para tres de estas cuatro vulnerabilidades cr√≠ticas de RCE y mantuvieron un secreto (CVE-2019-8641) porque la √ļltima actualizaci√≥n del parche no resolvi√≥ por completo este problema.

La quinta vulnerabilidad (CVE-2019-8646), una lectura fuera de los límites, también se puede realizar de forma remota enviando un mensaje no válido a través de iMessage. Pero en lugar de ejecutar el código, este error permite a un atacante leer el contenido de los archivos almacenados en el dispositivo iOS de la víctima a través de la memoria filtrada.

A continuación, puede encontrar detalles breves, enlaces a consejos de seguridad y vulnerabilidades de PoC para las cuatro vulnerabilidades:

  • CVE-2019-8647 (RCE a trav√©s de iMessage): esta es una vulnerabilidad sin uso que reside en el marco de Core Data de iOS que puede causar la ejecuci√≥n de c√≥digo arbitrario debido a la deserializaci√≥n insegura cuando el M√©todo initWithCoder NSArray.
  • CVE-2019-8662 (RCE a trav√©s de iMessage): esta falla tambi√©n es similar a la vulnerabilidad anterior despu√©s del uso gratuito y reside en el componente QuickLook de iOS, que tambi√©n se puede activar de forma remota a trav√©s de iMessage.
  • CVE-2019-8660 (RCE a trav√©s de iMessage): este es un problema de corrupci√≥n de memoria en el marco de Core Data y en el componente Siri que, si se explota correctamente, podr√≠a permitir que los atacantes remotos hagan que la aplicaci√≥n se cierre inesperadamente o ejecuci√≥n de c√≥digo arbitrario
  • CVE-2019-8646 (Archivo le√≠do a trav√©s de iMessage): este defecto, que tambi√©n reside en los componentes Siri y Core Data de iOS, podr√≠a permitir a un atacante leer el contenido de los archivos almacenados en dispositivos iOS de forma remota sin la interacci√≥n del usuario, como usuario m√≥vil con no sandbox.

Además de estos 5 vulnerabilidad, Silvanovich también publicó los detalles de la semana pasada y una vulnerabilidad de PoC para otra vulnerabilidad de lectura fuera de límite que también permite a los atacantes remotos perder memoria y leer archivos desde un dispositivo remoto.

La vulnerabilidad, asignada como CVE-2019-8624, reside en el componente Digital Touch de watchOS y afecta Apple Watch serie 1 y luego El problema ha sido corregido por Apple este mes con el lanzamiento de watchOS 5.3.

Como las vulnerabilidades de prueba de concepto para las seis vulnerabilidades de seguridad ahora est√°n disponibles para el p√ļblico, se recomienda a los usuarios que actualicen Apple √ļltima versi√≥n del software lo antes posible.

Además de las vulnerabilidades de seguridad, el esperado iOS 12.4 Las actualizaciones para iPhone, iPad y iPod touch también han proporcionado algunas características nuevas, incluida la capacidad de transferir datos de forma inalámbrica y migrar directamente desde un iPhone antiguo a un nuevo iPhone durante la instalación.

. (tagsToTranslate) vulnerabilidades de seguridad (t) gestión de riesgos (t) ataques cibernéticos (t) aplicaciones web (t) violaciones de datos (t) respuesta a incidentes (t) cibercrimen (t) violaciones de seguridad (t) amenazas cibernéticas (t) cómo piratear (t) piratería (t) piratas informáticos (t) seguridad cibernética (t) ciberseguridad (t) noticias de piratas informáticos (t) noticias de piratería (t) seguridad de red (t) información de seguridad (t) noticias de piratas informáticos

Dej√°nos tus Comentarios: