חדש פגיעות של יום אפס ממוקם ב iOS אבל גם iPad התומכים במכשירי אפל, לאחר הפגיעות החמורה שנמצאה באפליקציית הדואר שלהם iPhone.
Πבפרט, הפגיעות החדשה משפיעה על מכשירים עם iOS 13.4.1 והבאג זוהה על ידי האקר שוודי, בשם סיגוזה.
לדברי סיגוזה, ניתן לגנוב את הנתונים האישיים של משתמשי אייפון באמצעות באג המופיע בקריאה של XML קבצים. באג זה מאפשר לתוקפים לעקוף בדיקות אבטחה מסוימות לפני פרסום אפליקציה ב-AppStore. ליישומים מאוחרים יותר יש זכויות בלתי מוגבלות.
RIP ה-0day הראשון והאבסולוטי הטוב ביותר שלי בארגז החול אי פעם:
מזהה אפליקציה
…
אפליקציה-פלטפורמה
com .apple.private.security.no-container
task_for_pid-allow- סיגוזה (@ s1guza) אפריל 29, 2020
למעשה באמצעות פגיעות זו, משתמשים זדוניים יכולים לבצע כל סוג של התקפה. Siguza מצהיר כי באג זה בהחלט ייפתר עם הופעת iOS 13.5.
לא יכולתי לאחל פגיעות טובה יותר של יום אפס. הבאג הזה עזר לי בעשרות פרויקטי מחקר, היה בשימוש אלפי פעמים בכל שנה וכנראה נתן לי שעות רבות באותה מידה. הניצול הזה הוא כנראה הניצול הכי אמין, נקי ואלגנטי שאכתוב אי פעם בכל חיי. זה אפילו מתאים לציוץ.
[the_ad_group id = ”966 ″]