En Google-top security engineer har afsløret i dag, at hackere har været at lancere angreb mod iPhone-brugere ved hjælp af to iOS-sårbarheder. De angreb, der er sket før Apple havde en chance for at frigive iOS-12.1.4 i dag-hvilket betyder, at de to sårbarheder er, hvad sikkerhedseksperter kalder “nul-dage”.
Åbenbaringen kom i en tweet fra Ben Hawkes, team-leder på Projektet Nul –Google ‘ s elite security team. Hawkes ikke afsløre, under hvilke omstændigheder de to nul-dage er blevet brugt.
CVE-2019-7286 og CVE-2019-7287 i iOS rådgivende i dag (https://t.co/ZsIy8nxLvU) blev udnyttet i naturen som 0 dage.
— Ben Hawkes (@benhawkes) 7 februar 2019
På tidspunktet for skriftligt, er det uklart, om nul-dage er blevet brugt til verdslige cyber-kriminalitet operationer eller i mere målrettede cyber-spionage kampagner.
De to nul-dage har CVE-identifikatorer af CVE-2019-7286 og CVE-2019-7287.
Ifølge Apple iOS 12.1.4 sikkerhed changelog, CVE-2019-7286 virkninger iOS Foundation rammer –en af de centrale dele af iOS-operativsystemet.
En angriber kan udnytte et hukommelseskort korruption i iOS Foundation komponent via en ondsindet app til at opnå forøgede rettigheder.
Den anden nul-dag, CVE-2019-72867, virkninger i/O-Kit, en anden iOS-core ramme, der håndterer i/O-data streams mellem hardware og software.
En hacker kan udnytte en anden hukommelse korruption i denne ramme via en ondsindet app til at udføre vilkårlig kode med opsætning af privilegier.
Apple krediteret “en anonym forsker, Clement Lecigne af Google Trussel Analyse Gruppen, Ian Øl af Google Project Zero, og Samuel Groß af Google Project Zero” for at udforske både sårbarheder.
Hverken Apple eller Google-talsmand svaret på anmodninger om en kommentar fra ZDNet, før denne artikel blev offentliggjort. Det er meget usandsynligt, at de to selskaber vil udtale sig om spørgsmålet på dette tidspunkt, som både vil gerne holde zero-day detaljerne til et minimum, og forhindrer andre trussel aktører fra at få indsigt i, hvordan nul-dage arbejde.
iPhone-brugerne anbefales at opdatere deres enheder til iOS 12.1.4 så hurtigt som muligt. Denne version løser også den berygtede FaceTime-fejl, der gav brugerne mulighed for at aflytte andre, der bruger gruppen FaceTime-opkald.
Mere sikkerhed dækning:
Google frigiver udvidelse i Chrome, til at kontrollere for lækket brugernavne og passwordsPentesters brud 92 procent af virksomhederne, rapport claimsScammer grupper udnytter Gmail ‘dot regnskab for online fraudApple undskylder for FaceTime aflytning fejl, opdatering kommer i næste uge
Nye macOS nul-dag gør det muligt for tyveri af brugernes passwordsApple deaktiverer Gruppe FaceTime functionApple løser sin FaceTime fejl. Du vil få en software update snart CNET
Apples enterprise app krig med Facebook, Google kunne støtte Android TechRepublic
Relaterede Emner:
Apple
Sikkerhed-TV
Data Management
CXO
Datacentre