Google Project Zero Researchers enthüllen 5 "Zero Interaction" -Imessage-Fehler, 4 wurden in iOS 12.4 behoben

Das Google Project Zero-Team hat erneut eine Reihe von Sicherheitslücken in gefunden AppleiOS Betriebssystem. Zwei Mitglieder des Project Zero-Teams haben in iMessage fünf neue "Zero-Interaction" -Fehler entdeckt, die es einem Angreifer ermöglichen könnten, auf einem iPhone alle möglichen böswilligen Aktionen auszuführen, von einem Absturz einer App bis zum Lesen des Inhalts einer Datei. Apple hat fünf der gemeldeten Sicherheitslücken behoben, aber ein Fehler ist derzeit noch nicht behoben.

  

Laut einer Reihe von Tweets, die von Natalie Silvanovich von Google Project Zero veröffentlicht wurden, hat der Forscher mit Samuel Grob fünf Schwachstellen in gefunden Appleist iMessage. Diese Sicherheitsanfälligkeiten werden als Nullinteraktion bezeichnet, da der Benutzer nur eine böswillige iMessage öffnen muss. Wie Apple hat bereits vier dieser Sicherheitsanfälligkeiten in den kürzlich veröffentlichten iOS 12.4 behoben – CVE-2019-8647, CVE-2019-8624, CVE-2019-8646 und CVE-2019-8660 – ihre Details sind jetzt öffentlich. Da CVE-2019-8641 noch nicht gepatcht ist, halten die Forscher die Details bis zu einer 90-tägigen Offenlegungsfrist geheim.

Der größte der neu aufgedeckten Fehler ist CVE-2019-8646. Er betrifft Geräte mit iOS 12 und höher. Der Fehler ermöglicht es potenziellen Angreifern, Inhalte von Dateien, die auf einem iOS-Gerät gespeichert sind, ohne Benutzerinteraktion zu lesen.

Unter anderen iMessage-Fehlern ist CVE-2019-8660 ein Speicherfehler, und CVE-2019-8624 sowie CVE-2019-8647 können zum Absturz von iOS SpringBoard führen, das die grafische Benutzeroberfläche (GUI) von iOS verwaltet.

Zusätzlich zu diesen Fehlern war Natalie Silvanovich auch für die Suche nach CVE-2019-8662 verantwortlich. CVE-2019-8662 ist zwar nicht direkt für iMessage freigegeben, kann aber über die Messaging-App ausgelöst werden.

Natalie Silvanovich wird auf der kommenden Black Hat USA 2019-Konferenz mehr über die Bugs sprechen.

Zurückrufen, Apple hatte iOS 12.4 für die Benutzer von iPhone, iPad und iPod Touch veröffentlicht. Zusätzlich zu einer Reihe von Fehlerkorrekturen enthielt das Update eine neue Funktion zum drahtlosen Übertragen von Daten zwischen zwei iPhone-Modellen sowie Verbesserungen für Apple Nachrichten +.