Google Project Zero виявив шість вразливостей в iOS

Дослідники з Google Project Zero виявили шість уразливостей в iOS, проексплуатувати які можна через клієнт iMessage без будь-якої участі з боку користувача. Для п'яти з них дослідники опублікували PoC-експлоїти.

Всі шість уразливостей були виправлені 22 липня з виходом iOS 12.4. Тим не менш, дослідники вирішили поки не розкривати подробиці про одну вразливість (CVE-2019-8641), оскільки в новій версії ОС її було виправлено не повністю.

Чотири (CVE-2019-8641, CVE-2019-8647, CVE-2019-8660 і CVE-2019-8662) з шести вразливостей дозволяють віддалено виконати на пристрої довільний код без участі користувача. Для атаки достатньо лише відправити на пристрій жертви особливим чином налаштоване повідомлення. Як тільки повідомлення буде відкрито та переглянуто, на пристрої виконається шкідливий код.

За допомогою вразливостей CVE-2019-8624 іCVE-2019-8646 зловмисник може отримати доступ до вмісту пам'яті пристрою та віддалено читати файли. Для здійснення атаки жодних дій з боку жертви не потрібне.

За інформацію про вищезгадані вразливості компанії, що спеціалізуються на купівлі-продажу експлоїтів, готові заплатити величезні гроші. Наприклад, згідно з прайс-листом компанії Zerodium, їхня сукупна вартість може досягати $10 млн.

Інші новини