Un Apple Store à new york, en 2018.Photo: Mark Lennihan (AP)
Apple a publié des correctifs de bogues pour les cinq principaux problèmes de sécurité dans iOS qui peuvent être exploitées par l’intermédiaire de son service iMessage client app de la semaine dernière, après qu’ils ont été découverts par des chercheurs pour le concurrent de Google exploiter la chasse au Projet de Zéro, mais un autre problème a été signalé et n’est pas totalement résolu dans l’iOS 2.4 mise à jour, selon la BBC.
Tous étaient à distance et interactionless, ce qui signifie qu’un attaquant pourrait exploiter sans exiger du propriétaire de l’appareil ciblé à faire quoi que ce soit. Des vulnérabilités qui ont été résolus, on était tellement grave qu’il ne pouvait être résolu que par le nettoyage d’un appareil avec la perte de toutes les données, tandis qu’une autre pourrait être utilisé pour siphonner les données stockées sur le périphérique, la BBC a écrit. La sixième bug qui n’a pas été résolu dans iOS 2.4 et peut encore être exploité semble être graves, la BBC a écrit, mais le Projet Zéro chercheur Natalie Silvanovich tweeté qu’ils ont été retenues détails jusqu’à ce que la correction d’un bug délai est passé:
Apple propres notes sur iOS 12.4 indiquent que les interprétations faille pourrait donner aux pirates un moyen de plantage d’une application ou d’exécuter des commandes de leur propre sur les récentes iPhones, iPads et iPod touch si ils ont pu le découvrir.
Apple n’a pas commenté cette question spécifique, mais a exhorté les utilisateurs d’installer la nouvelle version d’iOS, qui traite de Google, d’autres découvertes, ainsi qu’une gamme de problèmes et des menaces.
“Garder votre logiciel à jour est l’une des choses les plus importantes que vous pouvez faire pour maintenir votre Apple sécurité du produit,” il a dit dans une déclaration.
Par ZDNet, il est possible que si Silvanovich et des collègues du Projet Zéro chercheur Samuel Groß avait vendu les cinq sans interaction utilisateur vulnérabilités sur le marché noir ou à un exploit vendeur, ils auraient facilement pu être une valeur d’au moins un million de dollars chacun—car ils offrent des pirates de la capacité d’infiltrer un périphérique cible non détectés. Crowdfense, un exploit vendeur, dit le site que depuis qu’ils requis pas de clics à l’ensemble d’une attaque et a affecté les dernières versions d’iOS, ils auraient pu être d’une valeur de $2 à 4 millions de chacune, pour un total de courriers de $20 à 24 millions de dollars.
Donc, c’est plutôt de la chance ces ont été découverts par le Projet de Zéro plutôt que quelqu’un qui cherche à cash sur eux. Selon ZDNet, Silvanovich a un prévue en parler à distance, interactionless iPhone vulnérabilités à la semaine prochaine Chapeau Noir de la cybersécurité de la conférence de la semaine prochaine, avec un synopsis pour le parler, disant qu’il “aborde le potentiel pour des vulnérabilités dans les SMS, MMS, messagerie Vocale Visuelle, iMessage et Mail, et explique comment mettre en place l’outillage pour tester ces composants.”
Les cinq bogues qui ont été résolus sont répertoriés comme CVE-2019-8624, CVE-2019-8646, CVE-2019-8647, CVE-2019-8660, et CVE-2019-8662.
[BBC/ZDNet]
Partager Cette Histoire