Google находит две уязвимости нулевого дня в iOS

Google находит две уязвимости нулевого дня в iOS

Android обычно получает больше внимания для мобильных вредоносных программ, чем iOS, поскольку платформа Google поддерживает сторонние магазины приложений. Подход Apple, обнесенный стеной, считается сильным, когда дело доходит до безопасности, но последнее обновление iOS, как сообщается, исправило две серьезные уязвимости, выявленные исследователями Google. Ваш iPhone в безопасности, если он обновлен сегодня, но Google говорит, что эксплойты были активны в дикой природе.

Угрозы, которые уже активны в сети до исправлений, называются уязвимостями нулевого дня. Отслеживание этих сбоев - миссия команды Google Project Zero. Платформа iOS не имеет открытого исходного кода, поэтому Apple может исправить многие дыры в безопасности внутри системы, даже не публикуя их. Однако Project Zero сообщил Apple о CVE-2019-7286 и CVE-2019-7287 после того, как увидел мошеннические приложения, использующие их против пользователей. Масштабы атак неизвестны, но журнал изменений Apple iOS 12.1.4 подтверждает, что теперь они исправлены.

Бен Хокс из Google опубликовал сообщения об ошибках в Твиттере, указав, что они уже есть. Поскольку Apple не знала об уязвимостях до появления отчета Google, она не знала, что сканирует новые приложения на предмет попыток их использования. Маловероятно, что мы получим более подробную информацию об атаках, например, сколько вредоносных приложений попало в App Store. Тем не менее, Apple, вероятно, удалила все, что предназначалось для CVE-2019-7286 и CVE-2019-7287.

CVE-2019-7286 влияет на iOS Foundation Framework, основной компонент операционной системы. Приложения могут использовать этот недостаток, нацеленный на повреждение памяти в структуре, чтобы получить повышенные привилегии. Таким образом, приложение может получить доступ к пользовательским данным, которых оно не должно иметь.

CVE-2019-7286 и CVE-2019-7287 в сегодняшней рекомендации iOS (https://t.co/ZsIy8nxLvU) использовались в открытом доступе как 0day.

- Бен Хоукс (@benhawkes) 7 февраля 2019

Другой нулевой день, CVE-2019-72867, идет после модуля I / O Kit. Опять же, это основная часть iOS. I / O Kit обрабатывает интерфейсы данных между аппаратным и программным обеспечением устройства. Приложения, использующие эту уязвимость, могут использовать повреждение памяти для запуска произвольного кода с привилегиями ядра. Злоумышленник может использовать эту ошибку, чтобы сделать на телефоне все, что вы сможете сделать.

iOS 12.1.4 доступна для всех iDevices от iPhone 5s, iPod Touch 6-го поколения, iPad Air и выше. Это обновление также исправляет ту неприятную ошибку FaceTime, которая позволяла людям подслушивать вас, прежде чем вы ответили на вызовы. Если этого недостаточно для обновления, возможно, появятся две новые уязвимости нулевого дня.

Читать далее

Google Lunar X Prize может продлиться без победителей

Фонд готов выплатить до 30 миллионов долларов в виде призов, но похоже, что предложение может истечь через несколько месяцев без победителей.

Детали Google Призрак и исправления для его облачных сервисов

Это было непросто, но Google выложил патчи для своих сервисов, и вы даже не заметили.

Chromecast, Google Home может перегружать ваш Wi-Fi

Если у вас возникли проблемы с Wi-Fi, поскольку вы подключаете смарт-динамик Google или Chromecast, это может быть не виноват ваш маршрутизатор или интернет.

AutoML Google создает модели машинного обучения без опыта программирования

Суть Cloud AutoML заключается в том, что почти каждый может принести каталог изображений, импортировать теги для изображений и создать на основе этого функциональную модель машинного обучения.