quarta-feira, 13 de fevereiro de 2019

Google alerta sobre duas vulnerabilidades “zero-day” do iOS



Ben Hawkes, da equipe do Project Zero, da Google, alertou sobre duas vulnerabilidades sérias do iOS, chamadas de “zero-day”. Vulnerabilidades de softwares são chamadas assim quando já estão sendo exploradas por apps maliciosos antes de receberem uma correção.

E foi exatamente o caso destas duas, descobertas pelo Project Zero e relatadas no Twitter (imagem abaixo). Embora o iOS não seja um sistema de código aberto, procurar brechas de segurança desta natureza é a missão da equipe do projeto, que percebeu que as falhas CVE-2019-7286 e CVE-2019-7287 já tinham sido usadas contra os usuários.


Ben Hawkes@benhawkes
CVE-2019-7286 and CVE-2019-7287 in the iOS advisory today (https://support.apple.com/en-us/HT209520 ) were exploited in the wild as 0day.
516
Informações e privacidade no Twitter Ads

About the security content of iOS 12.1.4

This document describes the security content of iOS 12.1.4.
support.apple.com
321 pessoas estão falando sobre isso


Felizmente, a Apple conseguiu corrigir as falhas antes do lançamento do iOS 12.1.4 ser lançado, e é bem provável que já tenha removido quaisquer apps que tenham se aproveitado delas, que inclusive, afetavam áreas essenciais do sistema operacional.

O CVE-2019-7286 afetava o iOS Foundation Framework. A corrupção de memória no framework dá acesso, para determinado app, a dados privados do usuário, por meio da obtenção ilegal de privilégios elevados. Já o CVE-2019-7287 impactava o módulo I/O Kit, que lida com fluxos de dados de entrada e saída entre o hardware e o software. O vazamento de memória neste espaço dá acesso com privilégios de kernel a um app, que poderia executar qualquer ação no smartphone, como se fosse o próprio dono do aparelho.

Para os usuários que possuem aparelhos compatíveis com a atualização, é de extrema importância que a realizem o quanto antes. Ela também corrige o bug do FaceTime que fazia algumas chamadas serem aceitas mesmo que o contato não as tivessem atendido.

Naturalmente, o iOS tende a ser uma plataforma mais segura que o Android, pela forma rigorosa como sua loja de apps é administrada, enquanto o Android é compatível com lojas de aplicativos de terceiros. No entanto, o alerta do Project Zero foi de suma importância para que a Apple tomasse conhecimento sobre essas falhas reportadas pela Google. A comunidade tecnológica agradece!

Fonte: EXTREME TECH

Postado por às
Marcadores: , ,

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)