Investigadores de Google Project Zero descubrieron cinco vulnerabilidades en iOS que pueden ser explotadas a través del cliente de la app iMessage. De los fallos reportados, que no necesitan de la interacción por parte de la víctima para ser explotados, al menos cuatro ya fueron reparados con el lanzamiento de la última actualización de Apple para iOS, más específicamente la versión 12.4.
Una de las vulnerabilidades reportadas (CVE-2019-8641) aún no fue reparada en la última actualización, explicó a través de su cuenta de Twitter Natalie Silvanovich, investigadora de Google Project Zero; quien adelantó también que dará una charla sobre el hallazgo de estas vulnerabilidades en la próxima edición de Black Hat USA el próximo 7 de agosto.
We are withholding CVE-2019-8641 until its deadline because the fix in the advisory did not resolve the vulnerability
— Natalie Silvanovich (@natashenka) July 29, 2019
Según publicó ZDNet, al menos cuatro de las vulnerabilidades identificadas permiten ejecutar código malicioso de manera remota en un dispositivo iOS, el cual puede ser explotado por un atacante con solo enviar un mensaje malicioso a la víctima a través de iMessage. De esta manera, la persona que abra y vea el mensaje ejecutará el código. Información técnica de estos bugs (detalle de uno de los fallos se mantiene privado hasta solucionarlo) puede encontrarse aquí, además del código de las pruebas de concepto para cada una de las vulnerabilidades, los cuales pueden ser utilizados para diseñar exploits, publicó el portal de tecnología.
En el caso de la vulnerabilidad CVE-2019-8646, caso de ser explotada permitiría a un atacante leer archivos de un dispositivo remoto sin necesidad de interacción por parte de la víctima, explicó la investigadora en Twitter.
CVE-2019-8646 allows an attacker to read files off a remote device with no user interaction, as user mobile with no sandboxhttps://t.co/uGXHYjOXBe
— Natalie Silvanovich (@natashenka) July 29, 2019
Tal como explica ZDNet en su artículo, el hecho de que existan pruebas de concepto disponibles obliga a los usuarios a no demorarse en la instalación de la última actualización que lanzó Apple. Por lo que recomendamos a los usuarios de iOS instalar los parches de seguridad que fueron lanzados el 22 de julio en la versión iOS 12.4.