Google hittade 6 iOS-sÄrbarheter, endast 5 har fixats

Google hittade 6 iOS-sÄrbarheter, endast 5 har fixats

Om du Àger en iOS-enhet som en iPhone (999,99 dollar i bÀsta köp) eller iPad (349,99 dollar pÄ Amazon), installerar du iOS 12.4 sÄ snart som möjligt. Det ÄtgÀrdar de flesta, men inte alla sÀkerhetsproblem som nyligen upptÀckts av Googles sÀkerhetsgrupp Project Zero, som inte krÀver nÄgon interaktion av anvÀndaren för att kunna utnyttjas.

Som ZDNet rapporterar anvĂ€nder Google ett team av sĂ€kerhetsanalytiker under Project Zero-banner som har till uppgift att upptĂ€cka nolldagars sĂ„rbarheter och informera det relevanta företaget sĂ„ att de kan fixas snarare Ă€n utnyttjas. TvĂ„ sĂ€kerhetsforskare i Project Zero (Natalie Silvanovich och Samuel Groß) upptĂ€ckte nyligen sex iOS-sĂ„rbarheter och rapporterade dem till Apple.

Problemet Ă€r att Apple slĂ€ppte iOS 12.4 förra veckan med korrigeringsfiler för alla sex sĂ„rbarheterna, men en Ă€r fortfarande utnyttjbar Ă€ven med korrigeringsfilen applicerad. Alla sex Ă€r allvarliga sĂ€kerhetsfel och anses vara “interaktionsfria”, vilket innebĂ€r att ingen anvĂ€ndarinmatning krĂ€vs för att de ska kunna utnyttja en iOS-enhet.

En attack kommer i form av en missformad iMessage. Fyra av sÄrbarheterna anvÀnder skadlig kod kopplad till ett meddelande som körs automatiskt nÀr meddelandet öppnas. De andra tvÄ Àr beroende av minneslÀckor för att fÄ Ätkomst till data pÄ enheten pÄ distans.

Eftersom Apple bara har lyckats fixa fem av de sex exploaterna, beslutade Project Zero att bara publicera detaljer och demokod för fem av buggarna (CVE-2019-8624, CVE-2019-8646, CVE-2019-8647, CVE-2019- 8660 och CVE-2019-8662), vilket ger Apple mer tid att slÀppa en ny patch. Om du undrar hur mycket dessa exploater skulle vara vÀrda pÄ den öppna marknaden, kan var och en enkelt sÀlja för över 1 miljon dollar.

Tills det slutliga utnyttjandet har korrigerats korrekt bör iOS-anvÀndare vara extra försiktiga nÀr det gÀller de meddelanden de vÀljer att öppna i iMessage. En av forskarna, Natalie Silvanovich, kommer att hÄlla en presentation nÀsta vecka pÄ Black Hat-sÀkerhetskonferensen i Las Vegas om avlÀgsna och interaktionsfria iPhone-exploater.