Google находит две уязвимости нулевого дня в iOS

Android обычно получает больше внимания для мобильных вредоносных программ, чем iOS, поскольку платформа Google поддерживает сторонние магазины приложений. Подход Apple, обнесенный стеной, считается сильным, когда дело доходит до безопасности, но последнее обновление iOS, как сообщается, исправило две серьезные уязвимости, выявленные исследователями Google. Ваш iPhone в безопасности, если он обновлен сегодня, но Google говорит, что эксплойты были активны в дикой природе.

Угрозы, которые уже активны в сети до исправлений, называются уязвимостями нулевого дня. Отслеживание этих сбоев - миссия команды Google Project Zero. Платформа iOS не имеет открытого исходного кода, поэтому Apple может исправить многие дыры в безопасности внутри системы, даже не публикуя их. Однако Project Zero сообщил Apple о CVE-2019-7286 и CVE-2019-7287 после того, как увидел мошеннические приложения, использующие их против пользователей. Масштабы атак неизвестны, но журнал изменений Apple iOS 12.1.4 подтверждает, что теперь они исправлены.

Бен Хокс из Google опубликовал сообщения об ошибках в Твиттере, указав, что они уже есть. Поскольку Apple не знала об уязвимостях до появления отчета Google, она не знала, что сканирует новые приложения на предмет попыток их использования. Маловероятно, что мы получим более подробную информацию об атаках, например, сколько вредоносных приложений попало в App Store. Тем не менее, Apple, вероятно, удалила все, что предназначалось для CVE-2019-7286 и CVE-2019-7287.

CVE-2019-7286 влияет на iOS Foundation Framework, основной компонент операционной системы. Приложения могут использовать этот недостаток, нацеленный на повреждение памяти в структуре, чтобы получить повышенные привилегии. Таким образом, приложение может получить доступ к пользовательским данным, которых оно не должно иметь.

CVE-2019-7286 и CVE-2019-7287 в сегодняшней рекомендации iOS (https://t.co/ZsIy8nxLvU) использовались в открытом доступе как 0day.

- Бен Хоукс (@benhawkes) 7 февраля 2019

Другой нулевой день, CVE-2019-72867, идет после модуля I / O Kit. Опять же, это основная часть iOS. I / O Kit обрабатывает интерфейсы данных между аппаратным и программным обеспечением устройства. Приложения, использующие эту уязвимость, могут использовать повреждение памяти для запуска произвольного кода с привилегиями ядра. Злоумышленник может использовать эту ошибку, чтобы сделать на телефоне все, что вы сможете сделать.

iOS 12.1.4 доступна для всех iDevices от iPhone 5s, iPod Touch 6-го поколения, iPad Air и выше. Это обновление также исправляет ту неприятную ошибку FaceTime, которая позволяла людям подслушивать вас, прежде чем вы ответили на вызовы. Если этого недостаточно для обновления, возможно, появятся две новые уязвимости нулевого дня.

Читать далее

Владельцы Google Pixel Slate сообщают о сбое флеш-хранилища

Форумы поддержки продуктов Google переполнены рассерженными владельцами Pixel Slate, которые говорят, что в их устройствах часто возникают серьезные ошибки хранения.

Google убивает бесплатное хранилище для фотографий, меняет то, что имеет значение в отношении ограничений

Google анонсировал некоторые существенные изменения в Фото, особенно если вы используете сервис для автоматического резервного копирования.

Время обновлять: Google исправляет 2 серьезные уязвимости Chrome нулевого дня

В отличие от последних нескольких нулевых дней, Google не обнаружил эти дыры в безопасности сам. Вместо этого он был предоставлен анонимными третьими сторонами, и проблемы настолько серьезны, что они не раскрыли полных деталей. Достаточно сказать, что вам стоит перестать откладывать это обновление.

Nvidia и Google будут поддерживать облачные игры на iPhone через веб-приложения

И Nvidia, и Google объявили о поддержке iOS для своих облачных игровых платформ через прогрессивные веб-приложения. Apple не может это заблокировать.