iOS, Google Project Zero trova sei vulnerabilità critiche
I ricercatori di Google Project Zero, la divisione della società che si occupa di sicurezza informatica, ha scoperto sei vulnerabilità critiche di iOS: cinque sono state risolte completamente con l'aggiornamento a iOS 12.4, in distribuzione da poco più di una settimana, la sesta solo parzialmente.
La maggior parte di queste vulnerabilità è particolarmente pericolosa perché non richiede interazione da parte dell'utente: il dispositivo può essere infettato completamente da remoto - e in modo piuttosto semplice, visto che basta inviare un messaggio opportunamente formattato via iMessage e aspettare che l'utente lo apra. Secondo il "listino prezzi" della società di ricerca ZERODIUM, il valore di queste vulnerabilità è pari a 1 milione di dollari l'una. Un'altra società, contattata da ZDNet, ha fatto una valutazione ancora più generosa, parlando di 2-4 milioni di dollari per exploit.
Natalie Silvanovich e Samuel Groß, i principali autori della scoperta, dimostreranno cinque dei sei attacchi (per l'ultimo si attenderà una patch completa da parte di Apple) la settimana prossima, nel corso della conferenza di settore Black Hat USA 2019. Per chi fosse interessato, è già disponibile online la documentazione ufficiale, con dettagli tecnici, dimostrazioni ed esempi di codice:
CVE-2019-8647
CVE-2019-8660
CVE-2019-8662
CVE-2019-8624
CVE-2019-8646
CVE-2019-8641 (per ora privati)
La maggior parte di queste vulnerabilità è particolarmente pericolosa perché non richiede interazione da parte dell'utente: il dispositivo può essere infettato completamente da remoto - e in modo piuttosto semplice, visto che basta inviare un messaggio opportunamente formattato via iMessage e aspettare che l'utente lo apra. Secondo il "listino prezzi" della società di ricerca ZERODIUM, il valore di queste vulnerabilità è pari a 1 milione di dollari l'una. Un'altra società, contattata da ZDNet, ha fatto una valutazione ancora più generosa, parlando di 2-4 milioni di dollari per exploit.
Natalie Silvanovich e Samuel Groß, i principali autori della scoperta, dimostreranno cinque dei sei attacchi (per l'ultimo si attenderà una patch completa da parte di Apple) la settimana prossima, nel corso della conferenza di settore Black Hat USA 2019. Per chi fosse interessato, è già disponibile online la documentazione ufficiale, con dettagli tecnici, dimostrazioni ed esempi di codice:
CVE-2019-8647
CVE-2019-8660
CVE-2019-8662
CVE-2019-8624
CVE-2019-8646
CVE-2019-8641 (per ora privati)
Commenti
Posta un commento