Google находит две уязвимости нулевого дня в iOS

Android обычно получает больше внимания для мобильных вредоносных программ, чем iOS, поскольку платформа Google поддерживает сторонние магазины приложений. Подход Apple, обнесенный стеной, считается сильным, когда дело доходит до безопасности, но последнее обновление iOS, как сообщается, исправило две серьезные уязвимости, выявленные исследователями Google. Ваш iPhone в безопасности, если он обновлен сегодня, но Google говорит, что эксплойты были активны в дикой природе.

Угрозы, которые уже активны в сети до исправлений, называются уязвимостями нулевого дня. Отслеживание этих сбоев - миссия команды Google Project Zero. Платформа iOS не имеет открытого исходного кода, поэтому Apple может исправить многие дыры в безопасности внутри системы, даже не публикуя их. Однако Project Zero сообщил Apple о CVE-2019-7286 и CVE-2019-7287 после того, как увидел мошеннические приложения, использующие их против пользователей. Масштабы атак неизвестны, но журнал изменений Apple iOS 12.1.4 подтверждает, что теперь они исправлены.

Бен Хокс из Google опубликовал сообщения об ошибках в Твиттере, указав, что они уже есть. Поскольку Apple не знала об уязвимостях до появления отчета Google, она не знала, что сканирует новые приложения на предмет попыток их использования. Маловероятно, что мы получим более подробную информацию об атаках, например, сколько вредоносных приложений попало в App Store. Тем не менее, Apple, вероятно, удалила все, что предназначалось для CVE-2019-7286 и CVE-2019-7287.

CVE-2019-7286 влияет на iOS Foundation Framework, основной компонент операционной системы. Приложения могут использовать этот недостаток, нацеленный на повреждение памяти в структуре, чтобы получить повышенные привилегии. Таким образом, приложение может получить доступ к пользовательским данным, которых оно не должно иметь.

CVE-2019-7286 и CVE-2019-7287 в сегодняшней рекомендации iOS (https://t.co/ZsIy8nxLvU) использовались в открытом доступе как 0day.

- Бен Хоукс (@benhawkes) 7 февраля 2019

Другой нулевой день, CVE-2019-72867, идет после модуля I / O Kit. Опять же, это основная часть iOS. I / O Kit обрабатывает интерфейсы данных между аппаратным и программным обеспечением устройства. Приложения, использующие эту уязвимость, могут использовать повреждение памяти для запуска произвольного кода с привилегиями ядра. Злоумышленник может использовать эту ошибку, чтобы сделать на телефоне все, что вы сможете сделать.

iOS 12.1.4 доступна для всех iDevices от iPhone 5s, iPod Touch 6-го поколения, iPad Air и выше. Это обновление также исправляет ту неприятную ошибку FaceTime, которая позволяла людям подслушивать вас, прежде чем вы ответили на вызовы. Если этого недостаточно для обновления, возможно, появятся две новые уязвимости нулевого дня.

Читать далее

Зонды Voyager находят новую физику, ускоряющую электроны, в глубоком космосе

В недавно опубликованном исследовании Университета Айовы говорится, что зонды «Вояджер» открыли совершенно новый вид «электронных взрывов», связанных с выбросами корональной массы на Солнце.

Скорость плавления ледника ускоряется, комплексное исследование находит

Исследователи обнаружили, что уровень потери льда от ледников ускорился в течение первых двух десятилетий 21-го века, и есть все основания ожидать, что тенденция будет продолжаться.

Прорыв прослушивания проекта Scans 60 миллионов звезд, находит нулевые пришельцы

Ученые с прослушиванием слушают проект, взяли на себя мантию поиска внеземного интеллекта (SETI) несколько лет назад, продолжая длительный поиск десятилетий ET. Проект только что выпустил свой самый большой опрос на сегодняшний день, состоящий из более чем 60 миллионов звезд ... и не инопланетян.

Ученые находят внеземные изотопы на дне океана

Анализ изотопов в океане CROST раскрывает радиоактивные материалы, которые могли бы только приехать сюда из-за пределов нашей солнечной системы, и их присутствие может помочь нам лучше понять физику катаклизных событий, таких как Supernovae.