قام عضوان في Project Zero ، فريق البحث عن الأخطاء في Google ، بنشر تفاصيل ورمز إثبات تجريبي لمفهوم خمسة من ستة أخطاء أمان “غير تفاعلية” تؤثر على نظام التشغيل iOS ويمكن استغلالها عبر عميل iMessage.
تم تصحيح الثغرات الأمنية الستة جميعها الأسبوع الماضي ، في 22 يوليو ،مع إصدار Apple iOS 12.4 .
تم إبقاء التفاصيل الخاصة بأحد الثغرات “غير التفاعلية” خاصة لأن تصحيح iOS 12.4 من Apple لم يحل المشكلة بالكامل ، وفقًا لناتالي سيلفانوفيتش ، أحد الباحثين في Google Project Zero الذين عثروا على الأخطاء وأبلغوا عنها.
أربعة أخطاء تؤدي إلى RCES عدم تفاعل المستخدم
وفقًا للباحث ، يمكن أن تؤدي أربعة من الأخطاء الأمنية الستة إلى تنفيذ تعليمات برمجية ضارة على جهاز iOS بعيد ، دون الحاجة إلى تفاعل المستخدم. كل ما يتعين على المهاجم القيام به هو إرسال رسالة تالفة إلى هاتف الضحية ، وسيتم تنفيذ التعليمات البرمجية الضارة بمجرد فتح المستخدم وعرض العنصر المستلم.
الأخطاء الأربعة هي CVE-2019-8641 (التفاصيل تبقى خاصة) ، CVE-2019-8647 ، CVE-2019-8660 ، و CVE-2019-8662 . تحتوي تقارير الأخطاء المرتبطة على تفاصيل تقنية حول كل خطأ ، ولكن أيضًا رمز إثبات صحة المفهوم الذي يمكن استخدامه لصياغة عمليات الاستغلال.
الأخطاء الخامسة والسادسة ، CVE-2019-8624 و CVE-2019-8646 ، يمكن أن تسمح للمهاجم بتسريب البيانات من ذاكرة الجهاز وقراءة الملفات من جهاز بعيد – وأيضًا دون تدخل المستخدم.
على الرغم من أنه من الجيد دائمًا تثبيت تحديثات الأمان بمجرد توفرها ، فإن توفر رمز إثبات صحة المفهوم يعني أنه يجب على المستخدمين تثبيت إصدار iOS 12.4 دون مزيد من التأخير.