¡Una vulnerabilidad importante valorada en 10 millones de dólares! IOS12.4 solución de emergencia héroe de riesgo de iMessage Google
La semana pasada, Apple solucionó cinco vulnerabilidades en iMessage en iOS 12.4. El héroe detrás de estas vulnerabilidades no fue la propia Apple, sino dos miembros del equipo de seguridad de Google, Project Zero. Recientemente, uno de los miembros publicó detalles y códigos de ataque para demostrar cuatro vulnerabilidades, mientras que otro lo mantiene en secreto porque la actualización de iOS 12.4 no resuelve completamente la vulnerabilidad.
Según informes extranjeros exhaustivos, Apple lanzó la semana pasada una actualización de seguridad para iOS 12.4 que no introdujo mejoras significativas en las funciones, pero corrigió 36 vulnerabilidades de seguridad. Cinco de las vulnerabilidades fueron propuestas por dos investigadores del Proyecto Cero de Google, Natalie Silvanovich y Samuel Gro? Incluyendo CVE-2019-8647, CVE-2019-8662, CVE-2019-8660, CVE-2019-8646 y CVE-2019-. El lunes (29), Sylvain Wiki anunció los detalles de cuatro de ellos en Twitter.
Según el contenido de seguridad de iOS 12.4 lanzado por Apple, CVE-2019-8647 es un problema de "error de uso de memoria de liberación" que permite a atacantes remotos ejecutar código arbitrario. Apple decidió resolverlo mejorando el. Mecanismo de gestión de memoria. CVE-2019-8662, por otro lado, permite que un atacante remoto active un "error al usar la memoria liberada" en una aplicación, lo que permite deserializar un NSDictionary que no es de confianza. Apple señaló en el informe que había resuelto el problema mejorando el mecanismo de verificación.
CVE-2019-8646 es una vulnerabilidad de lectura fuera de límites a través de la cual un atacante remoto puede perder memoria; CVE-2019-8660 y CVE-2019-8641 son vulnerabilidades de corrupción de memoria a través de las cuales un atacante remoto puede perder memoria; El atacante puede hacer que el programa se detenga repentinamente o ejecute programas arbitrarios. Sin embargo, Sylvia Wiki no ha publicado los detalles del CVE.
Sylvain Wiki declaró que CVE-2019-8641, CVE-2019-8647, CVE-2019-8660 y CVE-2019-8662 son cuatro vulnerabilidades de seguridad. Un atacante remoto sólo necesita enviar un mensaje con formato incorrecto al teléfono de la víctima. Una vez que el usuario abre y ve el elemento recibido, se ejecuta el código malicioso.
Hilvan Vicky compartirá detalles y dará una demostración sobre las vulnerabilidades remotas e interactivas del iPhone en la conferencia de seguridad Black Hat en Las Vegas la próxima semana.
El sitio web de tecnología ZDNet citó la lista de precios de la plataforma de comercio de vulnerabilidades Zerodium y señaló que, al igual que las vulnerabilidades mencionadas anteriormente, el precio de cada artículo en la plataforma puede alcanzar más de 6,5438 millones de dólares estadounidenses. Esto significa que se puede decir que Sylvain Wiki ha expuesto vulnerabilidades por valor de más de 5 millones de dólares (aproximadamente 34,515 millones de RMB), o incluso 10.000 dólares. Según estimaciones de la empresa de investigación de vulnerabilidades Crowdfense, estas vulnerabilidades de iOS pueden estimarse fácilmente entre 2 y 4 millones de dólares, y el valor total puede llegar a entre 1 y 24 millones de dólares (aproximadamente 6.543.806.572.220 RMB).