Google alerta sobre “zero day” antes do lançamento do novo iOS 12.1.4

Google alerta sobre “zero day” antes do lançamento do novo iOS 12.1.4 . Um engenheiro de segurança do Google revelou sexta, 08 de fevereiro, que hackers têm lançado ataques contra usuários do iPhone usando duas vulnerabilidades do iOS. Os ataques aconteceram antes que a Apple tivesse a chance de lançar o iOS 12.1.4 – significando que as duas vulnerabilidades “zero day”.

A revelação veio em um tweet de Ben Hawkes, líder da equipe do Project Zero – equipe de segurança de elite do Google. Hawkes não revelou em que circunstâncias os dois “zero day” foram usados.

Fonte: Twitter Ben Hawkes

Até o momento, o site ZD Net, afirma que não está claro se as vulnerabilidades “zero-day” foram usadas ​​em crimes cibernéticos ou em campanhas de espionagem cibernética mais direcionadas.

Os dois dias zero têm os identificadores CVE de CVE-2019-7286 e CVE-2019-7287.

De acordo com o changelog de segurança do Apple iOS 12.1.4, o CVE-2019-7286 afeta a estrutura do iOS Foundation – um dos principais componentes do sistema operacional iOS.

Um invasor pode explorar uma corrupção de memória no componente iOS Foundation por meio de um aplicativo mal-intencionado para obter privilégios elevados.

O segundo dia zero, CVE-2019-72867, impacta o I / O Kit, outra estrutura principal do iOS que lida com fluxos de dados de I / O entre o hardware e o software.

Um invasor pode explorar outra corrupção de memória nessa estrutura por meio de um aplicativo mal-intencionado para executar código arbitrário com privilégios de kernel.

A Apple creditou “um pesquisador anônimo, Clement Lecigne do Grupo de Análise de Ameaças do Google, Ian Beer do Google Project Zero, e Samuel Groß do Google Project Zero” por descobrir ambas as vulnerabilidades.

Nenhum porta-voz da Apple ou do Google respondeu aos pedidos de comentários do ZDNet antes até o momento que o Blog Minuto da Segurança verificou a publicação no site. O ZDNer acha que é altamente improvável que as duas empresas comentem o assunto no momento, já que ambos gostariam de minimizar os detalhes do “zero day” e evitar que outros agentes de ameaças obtenham informações sobre como os “zero day” funcionam.

Os usuários do iPhone são aconselhados a atualizar seus dispositivos para o iOS 12.1.4 o mais rápido possível. Esta versão também corrige o infame erro do FaceTime que permitia que os usuários espionassem os outros usando chamadas de grupo FaceTime.

Fonte: ZDNet

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

5 Trackbacks / Pingbacks

  1. Google alerta sobre “zero day” antes do lançamento do novo iOS 12.1.4 – Information Security
  2. 5 Melhores Práticas para a Prevenção da Violação de Dados em 2019
  3. Os desafios da diversidade de gênero na Segurança da Informação
  4. Segurança SaaS - 3 elementos Fundamentais
  5. O papel do CISO durante uma crise cibernética

Deixe sua opinião!