Jump to content

Шесть уязвимостей в iOS позволяют атаковать устройство без участия пользователя

Sign in to follow this  
mr.save

101 views

Четыре из шести уязвимостей позволяют удаленно выполнить код путем отправки сообщения в iMessage.

Исследователи из Google Project Zero Натали Силванович (Natalie Silvanovich) и Самуэль Грос (Samuel Groß) обнаружили шесть уязвимостей в iOS, проэксплуатировать которые можно через клиент iMessage без какого-либо участия со стороны пользователя. Для пяти из них исследователи опубликовали PoC-эксплоиты.

Все шесть уязвимостей были исправлены 22 июля с выходом iOS 12.4. Тем не менее, исследователи решили пока не раскрывать подробности об одной уязвимости (CVE-2019-8641), поскольку в новой версии ОС она была исправлена не полностью.

Четыре (CVE-2019-8641,CVE-2019-8647,CVE-2019-8660иCVE-2019-8662) из шести уязвимостей позволяют удаленно выполнить на устройстве произвольный код без участия пользователя. Для осуществления атаки достаточно лишь отправить на устройство жертвы особым образом сконфигурированное сообщение. Как только сообщение будет открыто и просмотрено, на устройстве выполнится вредоносный код.

С помощью уязвимостейCVE-2019-8624иCVE-2019-8646злоумышленник может получить доступ к содержимому памяти устройства и удаленно читать файлы. Для осуществления атаки никаких действий со стороны жертвы не требуется.

За информацию о вышеупомянутых уязвимостях компании, специализирующиеся на купле-продаже эксплоитов, готовы заплатить огромные деньги. К примеру, согласно прайс-листу компании Zerodium, их совокупная стоимость может достигать $10 млн.

 

Sign in to follow this  


0 Comments


Recommended Comments

There are no comments to display.

Guest
Add a comment...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...