Forskare vid Googles Project Zero, som har till uppgift att jaga buggar i programvara, har upptäckt en handfull iOS-attacker.
ZDNet har rapporten den här veckan. Ett par medlemmar i Project Zero kunde identifiera sex säkerhetsbrister relaterade till iOS. Fem av de sex har bevis-of-concept-koden som redan har publicerats, tillsammans med demonstrationer om hur de fungerar. Specifikt noterar forskarna att dessa utnyttjanden skulle kunna hanteras via iMessage-klienten.
Den goda nyheten är dock att alla sex exploater redan har lappats med den offentliga lanseringen av iOS 12.4. Så även om dessa senaste säkerhetsproblem redan har korrigerats, vilket avsevärt minskar deras effektivitet, är det en påminnelse om att hålla sig uppdaterad med programvaran du använder varje dag är mycket viktigt.
Det är värt att notera att en av buggarna i det här fallet fortfarande hålls under lindningar (åtminstone för nu), för medan iOS 12.4 korrigerade alla sex har en av bussen inte lösts fullständigt, åtminstone enligt Natalie Silvanovich, en av forskarna som upptäckte buggen. Samuel Groß är den andra forskaren som upptäckte buggen.
Enligt forskaren kan fyra av de sex säkerhetsfelarna leda till att skadlig kod körs på en fjärr iOS-enhet, utan användarinteraktion behövs. Allt som en angripare behöver göra är att skicka ett felformat meddelande till offrets telefon, och den skadliga koden kommer att köras när användaren öppnar och visar det mottagna objektet.
De fyra buggarna är CVE-2019-8641 (detaljer hålls privata), CVE-2019-8647, CVE-2019-8660 och CVE-2019-8662. De länkade felrapporterna innehåller tekniska detaljer om varje fel, men också korrektur-of-concept-kod som kan användas för att skapa exploater.
Den femte och sjätte buggen, CVE-2019-8624 och CVE-2019-8646, kan låta en angripare läcka data från en enhets minne och läsa filer från en fjärrenhet - också utan användarinteraktion.
Buggjakt kan leda till lukrativa utbetalningar. Som påpekades i den ursprungliga rapporten kan dessa typer av sårbarheter rymma över 1 miljon dollar för forskaren. Som sådan är det troligt att denna pool av säkerhetsfrågor kunde ha tagit upp upp till $ 5 miljoner, men kunde också ha värderats så högt som $ 24 miljoner med tanke på att de arbetade på senaste versioner av iOS.
I grund och botten, se till att uppgradera till iOS 12.4 så snart du kan om du inte redan har gjort det.
