Google alerta sobre “zero day” antes do lançamento do novo iOS 12.1.4

Google alerta sobre “zero day” antes do lançamento do novo iOS 12.1.4 . Um engenheiro de segurança do Google revelou sexta, 08 de fevereiro, que hackers têm lançado ataques contra usuários do iPhone usando duas vulnerabilidades do iOS. Os ataques aconteceram antes que a Apple tivesse a chance de lançar o iOS 12.1.4 – significando que as duas vulnerabilidades “zero day”.

A revelação veio em um tweet de Ben Hawkes, líder da equipe do Project Zero – equipe de segurança de elite do Google. Hawkes não revelou em que circunstâncias os dois “zero day” foram usados.

Até o momento, o site ZD Net, afirma que não está claro se as vulnerabilidades “zero-day” foram usadas ​​em crimes cibernéticos ou em campanhas de espionagem cibernética mais direcionadas.

Os dois dias zero têm os identificadores CVE de CVE-2019-7286 e CVE-2019-7287.

De acordo com o changelog de segurança do Apple iOS 12.1.4, o CVE-2019-7286 afeta a estrutura do iOS Foundation – um dos principais componentes do sistema operacional iOS.

Um invasor pode explorar uma corrupção de memória no componente iOS Foundation por meio de um aplicativo mal-intencionado para obter privilégios elevados.

O segundo dia zero, CVE-2019-72867, impacta o I / O Kit, outra estrutura principal do iOS que lida com fluxos de dados de I / O entre o hardware e o software.

Um invasor pode explorar outra corrupção de memória nessa estrutura por meio de um aplicativo mal-intencionado para executar código arbitrário com privilégios de kernel.

A Apple creditou “um pesquisador anônimo, Clement Lecigne do Grupo de Análise de Ameaças do Google, Ian Beer do Google Project Zero, e Samuel Groß do Google Project Zero” por descobrir ambas as vulnerabilidades.

Nenhum porta-voz da Apple ou do Google respondeu aos pedidos de comentários do ZDNet antes até o momento que o Blog Minuto da Segurança verificou a publicação no site. O ZDNer acha que é altamente improvável que as duas empresas comentem o assunto no momento, já que ambos gostariam de minimizar os detalhes do “zero day” e evitar que outros agentes de ameaças obtenham informações sobre como os “zero day” funcionam.

Os usuários do iPhone são aconselhados a atualizar seus dispositivos para o iOS 12.1.4 o mais rápido possível. Esta versão também corrige o infame erro do FaceTime que permitia que os usuários espionassem os outros usando chamadas de grupo FaceTime.

Fonte: ZDNet

Veja também:

• Servidores RDP podem invadir dispositivos de cliente
• Vulnerabilidade do Microsoft Exchange permite que invasores obtenham privilégios de administrador de domínio
• Vulnerabilidade na rede de telefonia permite captura de SMS usado como 2FA
• Antivírus DATLESS revoluciona mercado de Endopoint
• Mais 24 Milhões de documentos financeiros vazam na Amazon S3
• Pagar Resgate de Ramsonware: mais contras do que pros
• BRUMADINHO: QUEM SÃO OS CULPADOS?
• DHS e a NCSC emitem diretiva de emergência
• MDF2 – MASTER DIGITAL FORENSICS
• 33% dos robôs e roteadores conectados na Internet estão vulneráveis
• Onde armazenar minhas senhas? É seguro usar serviços em nuvem?
• Vaga para Hackers paga até US$89.000 por mês