Google находит две уязвимости нулевого дня в iOS

Google находит две уязвимости нулевого дня в iOS

Android обычно получает больше внимания для мобильных вредоносных программ, чем iOS, поскольку платформа Google поддерживает сторонние магазины приложений. Подход Apple, обнесенный стеной, считается сильным, когда дело доходит до безопасности, но последнее обновление iOS, как сообщается, исправило две серьезные уязвимости, выявленные исследователями Google. Ваш iPhone в безопасности, если он обновлен сегодня, но Google говорит, что эксплойты были активны в дикой природе.

Угрозы, которые уже активны в сети до исправлений, называются уязвимостями нулевого дня. Отслеживание этих сбоев - миссия команды Google Project Zero. Платформа iOS не имеет открытого исходного кода, поэтому Apple может исправить многие дыры в безопасности внутри системы, даже не публикуя их. Однако Project Zero сообщил Apple о CVE-2019-7286 и CVE-2019-7287 после того, как увидел мошеннические приложения, использующие их против пользователей. Масштабы атак неизвестны, но журнал изменений Apple iOS 12.1.4 подтверждает, что теперь они исправлены.

Бен Хокс из Google опубликовал сообщения об ошибках в Твиттере, указав, что они уже есть. Поскольку Apple не знала об уязвимостях до появления отчета Google, она не знала, что сканирует новые приложения на предмет попыток их использования. Маловероятно, что мы получим более подробную информацию об атаках, например, сколько вредоносных приложений попало в App Store. Тем не менее, Apple, вероятно, удалила все, что предназначалось для CVE-2019-7286 и CVE-2019-7287.

CVE-2019-7286 влияет на iOS Foundation Framework, основной компонент операционной системы. Приложения могут использовать этот недостаток, нацеленный на повреждение памяти в структуре, чтобы получить повышенные привилегии. Таким образом, приложение может получить доступ к пользовательским данным, которых оно не должно иметь.

CVE-2019-7286 и CVE-2019-7287 в сегодняшней рекомендации iOS (https://t.co/ZsIy8nxLvU) использовались в открытом доступе как 0day.

- Бен Хоукс (@benhawkes) 7 февраля 2019

Другой нулевой день, CVE-2019-72867, идет после модуля I / O Kit. Опять же, это основная часть iOS. I / O Kit обрабатывает интерфейсы данных между аппаратным и программным обеспечением устройства. Приложения, использующие эту уязвимость, могут использовать повреждение памяти для запуска произвольного кода с привилегиями ядра. Злоумышленник может использовать эту ошибку, чтобы сделать на телефоне все, что вы сможете сделать.

iOS 12.1.4 доступна для всех iDevices от iPhone 5s, iPod Touch 6-го поколения, iPad Air и выше. Это обновление также исправляет ту неприятную ошибку FaceTime, которая позволяла людям подслушивать вас, прежде чем вы ответили на вызовы. Если этого недостаточно для обновления, возможно, появятся две новые уязвимости нулевого дня.

Читать далее

Владельцы Google Pixel Slate сообщают о сбое флеш-хранилища
Владельцы Google Pixel Slate сообщают о сбое флеш-хранилища

Форумы поддержки продуктов Google переполнены рассерженными владельцами Pixel Slate, которые говорят, что в их устройствах часто возникают серьезные ошибки хранения.

Nvidia и Google будут поддерживать облачные игры на iPhone через веб-приложения
Nvidia и Google будут поддерживать облачные игры на iPhone через веб-приложения

И Nvidia, и Google объявили о поддержке iOS для своих облачных игровых платформ через прогрессивные веб-приложения. Apple не может это заблокировать.

Генеральный директор Google обещает расследовать уход ведущего исследователя ИИ
Генеральный директор Google обещает расследовать уход ведущего исследователя ИИ

Генеральный директор Google Сундар Пичай выразил фурор, связанный с увольнением специалиста по этике ИИ доктора Тимнита Гебру, но его служебная записка может не сильно улучшить ситуацию.

Google раскрывает уязвимость iPhone, которая может украсть данные через Wi-Fi
Google раскрывает уязвимость iPhone, которая может украсть данные через Wi-Fi

По словам Яна Бира из группы безопасности Google Project Zero, уязвимость позволяла ему красть фотографии с любого iPhone, просто направив на него антенну Wi-Fi.