Gyorsan frissítse az iPhone-ját!

​Egy újabb oka van annak, hogy az Apple készülékek tulajdonosainak mielőbb érdemes telepíteniük az iOS frissítéseket: súlyos sérülékenységek kihasználására alkalmas kódok jelentek meg az interneten.
 
hirdetés
Az Apple májusban adta ki az iOS operációs rendszerének 10.3.2-es verzióját. Akkor jelezte, hogy a frissítéssel számos biztonsági hibát lehet megszüntetni, köztük olyanokat is, amelyek kihasználásával teljes mértékben átvehetővé válhat az érintett készülékek feletti irányítás.
 
A legsúlyosabb sebezhetőségek közé tartoztak azok a biztonsági rések, amelyekre Adam Donenfeld, a Zimperium szakértője hívta fel az Apple fejlesztőinek figyelmét. Összesen hét olyan hibát tárt fel, amelyek az AVEVideoEncoder összetevőt érintik, plusz még egyet az IOSurface komponensben is sikerült kimutatnia. Hamar beigazolódott, hogy a felfedezett sérülékenységek valóban komoly kockázatot jelentenek.
 
Donenfeld a szingapúri Hack in the Box biztonsági konferencián számolt be a felfedezéseiről, és egyben egy élő demót is tartott, amelynek során szemléltette a veszélyeket. Elmondta, hogy a sebezhetőségek szolgáltatásmegtagadási (Dos) támadásokhoz, adatszivárgáshoz, jogosultsági szint emeléshez és akár root jogokkal történő visszaélésekhez is hozzájárulhatnak. Így nem elképzelhetetlen, hogy a jövőben különféle jailbreak eszközökben is szerephez jutnak. A szakember akkor lelt rá a hibákra, amikor egy eddig kevésbé ismert és tanulmányozott modult, a AppleAVE-t vette szemügyre, amelyről kiderült, hogy sok sebből vérzik.
 
A kockázatokat fokozza, hogy Donenfeld közzétette azt a Proof-of-concept (PoC) kódot, amely alkalmas a sérülékenységek kihasználására. Ezt a kódot zIVA-nak (Zimperium’s iOS Video Audio) nevezte el. Emellett az egyik sebezhetőség technikai részleteiről is lerántotta a leplet. Ugyanakkor a többi hiba sem fog már sokáig titokban maradni, mivel a Zimperium jelezte, hogy idővel mindegyik sérülékenységről részletes tájékoztatást fog adni. Ezzel azért vár még, mert az Apple kérése az volt, hogy a részletek ismertetésére később kerüljön sor, hogy a felhasználóknak legyen elég idejük a készülékeik frissítésére.
Vélemények
 
  1. 3

    Az Apache HTTPD egy adatlopásra lehetőséget adó sebezhetőséget tartalmaz.

  2. 4

    Az Apache Tomcat két hibajavítással gyarapodott.

  3. 4

    A Samba három sebezhetőség miatt kapott újabb frissítést.

 
Partnerhírek
​Hogyan lehetsz tudtodon kívül kriptobányász?

A kiberbűnözők évek óta kihasználják a kriptovaluta bányászatban rejlő lehetőségeket, hogy profitra tegyenek szert.

Hallhatatlan hangban érkezhet utasítás az asszisztensekhez

Egy kínai egyetemi kutatócsapat szerint az okostelefonokba beépített digitális asszisztenseket a hallható tartomány feletti frekvenciájú hangutasítással is lehet irányítani.

hirdetés
Közösség
1