En Google top säkerhet ingenjör har avslöjade i dag att hackare har varit att lansera attacker mot iPhone-användare med hjälp av två iOS svagheter. Attackerna har hänt innan Apple hade en chans att släppa iOS 12.1.4 idag-vilket betyder att de två sårbarheter är vad som säkerhet experter kallar “zero-dagar.”
Avslöjandet kom i en tweet från Ben Hawkes, teamledare på Project Zero-Google ‘ s elite security team. Hawkes framgår inte under vilka omständigheter de två noll-dagar har använts.
CVE-2019-7286 och CVE-2019-7287 i iOS rådgivande idag (https://t.co/ZsIy8nxLvU) var utnyttjade i det vilda som 0day.
— Ben Hawkes (@benhawkes) 7 februari, 2019
I skrivande stund är det oklart om noll-dagar har använts för vardagliga it-brottslighet verksamhet eller i mer riktade it-spionage kampanjer.
De två noll-dagar har CVE identifierare av CVE-2019-7286 och CVE-2019-7287.
Enligt Apple iOS 12.1.4 säkerhet changelog, CVE-2019-7286 påverkan iOS Foundation ram –en av de centrala delarna av iOS operativsystem.
En angripare kan utnyttja ett minne korruption i iOS-Stiftelsen komponenten via en skadlig app för att få utökade privilegier.
Den andra zero-day, CVE-2019-72867, påverkan i/O-Kit, en annan iOS-core ram som hanterar I/O-data strömmar mellan hårdvara och programvara.
En angripare kan utnyttja ett annat minne korruption inom ramen för detta via en skadlig app för att exekvera godtycklig kod med kärnan privilegier.
Apple krediteras “en anonym forskare, Clement Lecigne av Google hotanalys Grupp, Ian Öl av Google Project Zero, och Samuel Groß av Google Project Zero” för att upptäcka både sårbarheter.
Varken Apple eller Google talesperson svarat på begäran om kommentar från ZDNet innan denna artikel publicerades. Det är högst osannolikt att de två företagen kommer att kommentera frågan vid denna tid, som både skulle vilja hålla zero-day detaljerna till ett minimum och förhindra att andra hot aktörer från att få en inblick i hur det noll-dagars arbete.
iPhone-användare uppmanas att uppdatera sina enheter till iOS 12.1.4 så snart som möjligt. Den här versionen åtgärdar även den ökända FaceTime bugg som tillät användare att tjuvlyssna på andra som använder gruppen FaceTime-samtal.
Mer trygghet:
Google släpper Chrome för att kontrollera om det läckt ut användarnamn och passwordsPentesters brott 92 procent av företag, rapport claimsScammer grupper utnyttjar Gmail dot-konton för online fraudApple ber om ursäkt för FaceTime avlyssning bugg, uppdatering kommer nästa vecka
Nya macOS zero-day tillåter stöld av användaren passwordsApple inaktiverar Gruppen FaceTime functionApple fixar sin FaceTime fel. Du kommer att få en uppdatering av programvaran snart CNET
Apples enterprise app krig med Facebook, Google kan hjälpa Android TechRepublic
Relaterade Ämnen:
Apple
Säkerhet-TV
Hantering Av Data
CXO
Datacenter