medjouel.com Estudio sin parar
Related Articles
Dos miembros del Proyecto Cero, el equipo de búsqueda de errores de élite de Google, han publicado detalles y un código de prueba de concepto de demostración de cinco de los seis errores de seguridad «sin interacción» que afectan el sistema operativo iOS y pueden explotarse a través del cliente iMessage.
Las seis fallas de seguridad fueron reparadas la semana pasada, el 22 de julio, con el lanzamiento de iOS 12.4 de Apple .
Los detalles sobre una de las vulnerabilidades «sin interacción» se han mantenido privados porque el parche iOS 12.4 de Apple no resolvió por completo el error, según Natalie Silvanovich, uno de los dos investigadores de Google Project Zero que encontraron e informaron los errores.
CUATRO ERRORES CONDUCEN A RCE SIN INTERACCIÓN DEL USUARIO
Según el investigador, cuatro de los seis errores de seguridad pueden conducir a la ejecución de código malicioso en un dispositivo iOS remoto, sin necesidad de interacción del usuario. Todo lo que un atacante debe hacer es enviar un mensaje con formato incorrecto al teléfono de la víctima, y el código malicioso se ejecutará una vez que el usuario abra y vea el elemento recibido.
Los cuatro errores son CVE-2019-8641 (los detalles se mantienen privados), CVE-2019-8647 , CVE-2019-8660 y CVE-2019-8662 . Los informes de errores vinculados contienen detalles técnicos sobre cada error, pero también código de prueba de concepto que se puede utilizar para crear exploits.
Los errores quinto y sexto, CVE-2019-8624 y CVE-2019-8646 , pueden permitir que un atacante filtre datos de la memoria de un dispositivo y lea archivos de un dispositivo remoto, también sin interacción del usuario.
Si bien siempre es una buena idea instalar actualizaciones de seguridad tan pronto como estén disponibles, la disponibilidad del código de prueba de concepto significa que los usuarios deben instalar la versión iOS 12.4 sin más demora.