Google знаходить дві вразливості до нуля в iOS
Android зазвичай отримує більше уваги для шкідливих програм для мобільних пристроїв, ніж iOS, оскільки платформа Google підтримує магазини інших виробників. Захищений стінами сад підхід Apple розглядається як сила, коли йдеться про безпеку, але останнє оновлення iOS, як повідомляється, усунуло дві серйозні уразливості, виявлені дослідниками Google. Ваш iPhone є безпечним, якщо його оновлено сьогодні, але Google каже, що подвиги були активними в дикій природі.
Загрози, які вже активні в Інтернеті до виправлення, називаються вразливостями "нульового дня". Відстеження цих глюків є місією команди Project Zero від Google. Платформа iOS не є з відкритим вихідним кодом, тому Apple може виправити багато отворів безпеки всередині, не повідомляючи їх. Тим не менш, Project Zero повідомив CVE-2019-7286 і CVE-2019-7287 компанії Apple, побачивши, що їх використовують проти користувачів. Масштаб атак невідомий, але Apple iOS 12.1.4 змінний підтверджує, що вони тепер виправлені.
Бен Хоукс від Google оприлюднив помилки в Twitter, зазначивши, що вони вже там. Оскільки Apple не знала про вразливості до звіту Google, вона не знала б, щоб сканувати нові програми для спроб їх використання. Навряд чи ми отримаємо докладнішу інформацію про атаки, як, наприклад, скільки зловмисних програм вдалося в App Store. Тим не менш, Apple, швидше за все, видалено все, що націлено на CVE-2019-7286 і CVE-2019-7287.
CVE-2019-7286 впливає на платформу iOS Foundation, основний компонент операційної системи. Програми можуть використовувати цей недолік, орієнтуючись на корупцію в пам'яті, щоб отримати підвищені привілеї. Таким чином, програма може отримувати доступ до даних користувачів, яких вона не повинна мати.
CVE-2019-7286 і CVE-2019-7287 в iOS консультації сьогодні (https://t.co/ZsIy8nxLvU) були використані в дикій природі, як 0day.
- Бен Хоукс (@benhawkes) 7 лютого 2019 року
Інший нульовий день, CVE-2019-72867 йде після модуля I / O Kit. Знову ж таки, це основна частина iOS. Комплект вводу / виводу обробляє інтерфейси даних між обладнанням і програмним забезпеченням пристрою. Програми, що використовують цю вразливість, можуть використовувати корупцію пам'яті для виконання довільного коду з привілеями ядра. Зловмисник може скористатися цією помилкою для виконання будь-яких дій на вашому телефоні.
iOS 12.1.4 доступний для всіх iDevices з iPhone 5s, 6-го покоління IPod Touch, iPad Air далі. Це оновлення також виправляє ту неприємну помилку FaceTime, яка дозволяє людям підслуховувати вас, перш ніж відповідати на виклики. Якщо цього не достатньо, щоб оновити вас, можливо, з'являться дві нові вразливості до нульового дня.
Читати далі
Час оновлення: Google патчі 2 серйозні вразливості Chrome до нульового дня
На відміну від останніх кількох нульових днів, Google сам не знайшов цих дір у безпеці. Натомість його отримали анонімні сторонні сторони, і проблеми досить серйозні, що він не опублікував повної інформації. Досить сказати, що вам слід припинити відкладати це оновлення.
Старі вразливості з нульовим днем залишаються непридатними на Samsung, телефони Google
Нещодавню партію серйозних недоліків у GPU Mali ARM повідомили про проект нуль і фіксували виробником. Однак постачальники смартфонів ніколи не реалізували патчі, серед них сам Google.
Нова доповідь показує, що системи збройних сиріт Пентагону відрізняються вразливостями
У звіті починається, зазначивши, що протягом десятиріч Міністерство закордонних справ "не встановив пріоритет" питань безпеки зброї та до цих пір розуміє, як краще вирішити ці загрози. Тоді звіт посилюється.
Intel розкриває нові вразливості безпеки спекуляції
Компанія Intel розкрила новий набір спекулятивних проблем безпеки, які можуть витікати дані з процесорів за певних обставин. Як серйозна проблема, яку вони представляють як практичну проблему, все ще обговорюється.