Apple утверждает, что ошибки не представляют
непосредственной угрозы, и нет никаких доказательств того, что они были использованы,
как заявлялось ранее на этой неделе.
Apple оспаривает серьезность двух уязвимостей нулевого дня в
iOS, о которых компания сообщила ранее
на этой неделе.
Описав одну из уязвимостей как особо опасную, поскольку ее
можно было использовать удаленно без каких-либо действий пользователя.
Поставщик системы безопасности заявил, что его исследователи наблюдали
вероятного действующего лица, на уровне государственных структур, которое
активно использует уязвимость с нулевым щелчком во множественных целевых атаках.
Среди жертв были люди из компании Fortune 500 в Северной
Америке, несколько поставщиков управляемых услуг безопасности в Саудовской
Аравии и телекоммуникационная компания в Японии.
Злоумышленники могут вызвать ошибки, отправив специально
созданные сообщения электронной почты в iOS MobileMail. Однако, поставщик
безопасности также отметил, что только две ошибки не могут нанести вред
пользователям iOS. По его словам, злоумышленникам также потребуются
дополнительные ошибки, включая ошибку на уровне ядра, для полного контроля над
целевыми устройствами.
Производитель сказал, что это повлияло на несколько версий iOS, начиная с iOS 13.4.1 вплоть до iOS 6 2012 года - и,
возможно, даже на более ранних версиях.
Раскрытие исследователей привлекло некоторое внимание,
потому что нулевые дни iOS
относительно редки из-за утверждений
безопасности, что ошибки активно использовались.
Apple
заявила, что выпустит патч для исправлений в следующей версии iOS.
В заявлении по электронной почте для Dark Reading представитель Apple заявил, что компания
"тщательно изучила" отчет предоставленный исследователями. «На
основании предоставленной информации [мы] пришли к выводу, что эти проблемы не
представляют непосредственного риска для наших пользователей», - сказал
представитель.
По словам Apple,
проблемы, которые были выявлены в одной только Почте, недостаточны для обхода
средств защиты iPhone и
iPad, очевидно
согласившись с анализом ошибок. Но компания добавила, что ее исследователи не
нашли доказательств того, что ошибки были использованы против каких-либо
клиентов, вопреки утверждениям о широкой эксплуатации.
«Эти потенциальные проблемы скоро будут решены в обновлении
программного обеспечения», - сказали в Apple. «Мы ценим наше сотрудничество с исследователями
безопасности, чтобы помочь обеспечить безопасность наших пользователей, и будем
благодарны исследователю за их помощь».
В своем твите Янн Хорн, исследователь безопасности из
команды Google Project Zero
по поиску ошибок, сказал, что одна часть данных, которую определили как потенциально подозрительную,
может быть отнесена к чему-то безобидному.
«Ваша статья говорит: « Подозрительные события включали
строки, обычно используемые хакерами (например, 414141… 4141) », - сказал Хорн
в своем твите. «Но это также выглядит так, когда вы просто кодируете нуль-байты
base64; и это анализ MIME, так что вы, скорее
всего, увидите данные в кодировке base64. "
Рич Могулл, аналитик Securosis, поставил под сомнение заявления о широко
распространенной эксплуатации. «Похоже, у вас настоящая шкура, но
доказательства эксплуатации выглядят слабыми», - сказал он в твиттере на этой
неделе. Раскрытие не предоставило никакой информации о цепочка эксплуатации,
которая может привести к раскрытию информации или выполнению кода. «Любое
обновление, которым вы можете поделиться? Довольно большое требование
использования 0-дневной почты без щелчков», - говорится в твиттере Mogull.
Дино Дай Зови, известный исследователь безопасности и
технический директор Capsule8,
выразил аналогичные сомнения по поводу заявлений исследователей. «Я также не
следил за тем, как описанные сбои можно использовать для надежного [Удаленного
выполнения кода] в этих версиях iOS»,
- написал он в Твиттере. «Это не значит, что это невозможно, просто я не
понимаю, как MIME-декодирование
дает вам предсказуемое расположение кучи и / или обратную связь по утечке
адреса для создания цепочки ROP
и т. д. "
Как и другие, Дай Зови призвал создать дополнительный блог, чтобы описать,
как именно описанные уязвимости могут быть реально использованы.
Комментариев нет:
Отправить комментарий