Za wykrycie podatności w systemie iOS odpowiada inżynier bezpieczeństwa pracująca dla Google. Wykryła ona wrażliwość w aplikacji do wysyłania wiadomości iMessage, która umożliwia cyberprzestępcom uzyskanie dostępu do danych przechowywanych na smartfonie. Natalie Silvanovich informuje za pośrednictwem Twittera, że udało jej się znaleźć łącznie aż pięć różnych bugów w iMessage. Są nimi:
- CVE-2019-8647 – zdalny, typu use-after-free
- CVE-2019-8662 – podobny w dziaaniu do CVE-2019-8647
- CVE-2019-8660 – zdalny, niewymagający interakcji, wpływający na pamięć
- CVE-2019-8646 – pozwala atakującemu na zdalny odczyt plików bez wymaganej interakcji ze strony użytkownika
- CVE-2019-8641 – nieujawniony – poprawka wciąż nie została wydana
Today, @5aelo and I unrestricted five bugs in iMessage! Here are some highlights:
— Natalie Silvanovich (@natashenka) 29 lipca 2019
Jak widzicie zaledwie jedna z wrażliwości została utajniona. Wynika to z polityki Projektu Zero, dającej firmie, w której oprogramowaniu wykryto lukę, 90 dni na jej załatanie. Okazuje się, że cztery z powyższych błędów Apple usunęło w oprogramowaniu iOS 12.4 – to właśnie między innymi dlatego warto je zainstalować.
Apple zataiło fakt istnienia wszystkich powyższych wrażliwości. Nie wspomniało o nich nawet już po usunięciu w dzienniku zmian systemu iOS 12.4.
Źródło: Twitter