Pesquisadores do Google Project Zero descobriram cinco vulnerabilidades no iOS que podem ser exploradas por meio do cliente do app iMessage. Dos bugs reportados, que não precisam da interação da vítima para ser explorado, pelo menos quatro já foram reparados com o lançamento da última atualização da Apple para iOS, mais especificamente a versão 12.4.
Uma das vulnerabilidades reportadas (CVE-2019-8641) ainda não foi corrigida na última atualização, explicou Natalie Silvanovich, pesquisadora do Google Project Zero, por meio de sua conta no Twitter; que também anunciou que fará uma palestra sobre a descoberta dessas vulnerabilidades na próxima edição da Black Hat USA em 7 de agosto.
We are withholding CVE-2019-8641 until its deadline because the fix in the advisory did not resolve the vulnerability
— Natalie Silvanovich (@natashenka) July 29, 2019
De acordo com o portal ZDNet, pelos menos quatro das vulnerabilidades identificadas permitem executar código malicioso remotamente num dispositivo iOS, o qual pode ser explorado por um atacante bastando para tal enviar uma mensagem maliciosa à vítima através de iMessage. Desta forma, a pessoa que abra e veja a mensagem executará o código. As informações técnicas sobre esses bugs (detalhe de uma das falhas mantém-se privado até que seja solucionado) podem ser encontradas aqui, além do código de prova de conceito para cada uma das vulnerabilidades, que podem ser usados para projetar exploits, publicou o portal de tecnologia.
No caso da vulnerabilidade CVE-2019-8646, se explorada, permitiria que um atacante pudesse ler arquivos de um dispositivo remoto sem a necessidade de interação da vítima, explicou o pesquisadora no Twitter.
CVE-2019-8646 allows an attacker to read files off a remote device with no user interaction, as user mobile with no sandboxhttps://t.co/uGXHYjOXBe
— Natalie Silvanovich (@natashenka) July 29, 2019
Assim como explica o portal ZDNet em seu artigo, o fato de haver uma prova de conceito disponível obriga os usuários a não atrasarem a instalação da atualização mais recente lançada pela Apple. Portanto, recomendamos que os usuários do iOS instalem os patches de segurança lançados em 22 de julho, com a versão 12.4.