Een Google-top security engineer heeft vandaag onthuld dat hackers zijn lanceren aanvallen tegen iPhone-gebruikers met behulp van twee iOS-kwetsbaarheden. De aanslagen zijn gebeurd voordat Apple had een kans om de release van iOS 12.1.4 op de dag van vandaag betekent dat de twee kwetsbaarheden zijn wat security experts noemen de “nul-dagen.”
De openbaring kwam in een tweet van Ben Hawkes, teamleider in het Project Zero –Google ‘ s elite security team. Hawkes niet onthullen onder welke omstandigheden de twee zero-dagen zijn gebruikt.
CVE-2019-7286 en CVE-2019-7287 in de iOS advisory vandaag (https://t.co/ZsIy8nxLvU) werden uitgebuit in het wild als 0day.
— Ben Hawkes (@benhawkes) 7 februari 2019
Op het moment van schrijven, is het onduidelijk of de zero-days zijn gebruikt voor alledaagse cyber-crime activiteiten of in meer gerichte cyberspionage campagnes.
De twee nul-dagen hebben de CVE id ‘ s van CVE-2019-7286 en CVE-2019-7287.
Volgens de Apple iOS 12.1.4 veiligheid changelog, CVE-2019-7286 invloed op de iOS Stichting kader-een van de belangrijkste onderdelen van het iOS-besturingssysteem.
Een aanvaller kan misbruik maken van een geheugenbeschadiging in de iOS Stichting component via een kwaadaardige app te krijgen verhoogde bevoegdheden.
De tweede nul-dag, CVE-2019-72867, effecten I/O Kit, een ander iOS-core kader dat handvatten I/O-gegevens stromen tussen de hardware en de software.
Een aanvaller kan misbruik maken van een ander geheugen corruptie in dit kader via een kwaadaardige app te voeren willekeurige code met de kernel-privileges.
Apple bijgeschreven “een anonieme onderzoeker, Clement Lecigne van Google Threat Analysis Group, Ian Bier van Google Project Zero, en Samuel Groß van Google Project Zero” voor het ontdekken van beide kwetsbaarheden.
Noch een Apple of Google-woordvoerder reageerde op verzoeken om commentaar van ZDNet voordat dit artikel is de publicatie. Het is zeer onwaarschijnlijk dat de twee bedrijven zullen reageren op het probleem op dit moment, want in beide gevallen zou graag op de hoogte houden van de zero-day details tot een minimum te beperken en te voorkomen dat andere bedreiging van de acteurs uit het verkrijgen van inzicht in hoe de zero-dagen werk.
iPhone-gebruikers worden geadviseerd om een update van hun toestellen naar iOS 12.1.4 zo spoedig mogelijk. Deze versie lost ook het beruchte FaceTime bug dat gebruikers toeliet om af te luisteren op anderen met behulp groep FaceTime-gesprekken.
Meer zekerheid:
Google releases Chrome-extensie om te controleren voor gelekt gebruikersnamen en passwordsPentesters schending 92 procent van de bedrijven, rapport claimsScammer groepen zijn het benutten van Gmail ‘punt ‘ accounts’ voor online fraudApple verontschuldigt zich voor FaceTime afluisteren bug in de update komt volgende week
Nieuwe macOS zero-day maakt diefstal van gebruiker passwordsApple schakelt Groep FaceTime functionApple corrigeert de FaceTime-bug. U krijgt een software update snel CNET
Apple ‘ s enterprise app oorlog met Facebook, Google kan steun op Android TechRepublic
Verwante Onderwerpen:
Apple
Beveiliging TV
Data Management
CXO
Datacenters