iOS 12.4 corrige 4 de 6 falhas de segurança do iMessage “sem interação”
A Apple está bastante consciente sobre a implementação de atualizações de segurança, mas, por um motivo ou outro, alguns usuários podem não ficar tão entusiasmados com a instalação deles. Alguns podem ter sido gravados por atualizações anteriores que podem ter causado mais problemas do que corrigidos. Esses usuários, no entanto, podem querer atualizar imediatamente para o iOS 12.4 assim que a costa estiver limpa. Acontece que a atualização de manutenção contém correções para, pelo menos, bugs críticos de segurança que, de acordo com os pesquisadores que os descobriram, poderiam ter sido avaliados em US $ 5 milhões ou mais.
A razão para um valor tão alto para estes sacos é que estes erros não requerem interação do usuário para disparar. Eles simplesmente precisam abrir uma mensagem mal-intencionada enviada por um hacker e eles já estão comprometidos. Esses tipos de exploits de “não interação do usuário” são altamente precificados no mercado de hackers e, portanto, também trazem um alto preço entre os caçadores de bugs.
A Apple executa um navio tight, de modo que exploits como esses geralmente são raros. Acontece, no entanto, que esses seis bugs relatados por dois membros do Projeto Zero do Google afetam o aplicativo iMessage ou Messages iOS da própria Apple. Este não é o primeiro de seu tipo, já que recentemente houve um bug que afetou o Messages e outros aplicativos de mensagens de terceiros, fazendo com que eles falhassem depois de receber um único caractere invisível.
As vulnerabilidades relatadas por Natalie Silvanovich e seu co-pesquisador, no entanto, têm maiores implicações de segurança. Quatro deles teriam permitido a execução de código arbitrário quando a mensagem maliciosa é aberta. Os outros dois teriam permitido que o invasor lesse dados do dispositivo sem interação ou conhecimento do usuário.
Os primeiros quatro dos seis foram corrigidos no iOS 12.4, mas a existência de explorações de prova de conceito significa que os usuários devem atualizar o mais rápido possível. Os outros dois bugs que vazam dados ainda não têm patches, motivo pelo qual os detalhes sobre eles ainda são mantidos a portas fechadas.
Via: Slash Gear
Nenhum comentário