Apple iOS’dagi ikkita 0-Day zaifliklarini tuzatdi
Zaifliklar tizimda imtiyozlarni oshirish yoki yadro imtiyozlari bilan ixtiyoriy kodni bajarish imkonini beradi.
Google’ning Project Zero jamoasi rahbari Ben Xoksning Twitterdagi postida aytilishicha, iOS’dagi ikkita nol kunlik zaiflik iPhone va iPad foydalanuvchilariga qarshi hujumlarda ishlatilgan. Hozircha zaifliklar oddiy kiberjinoyatchilik operatsiyalarida ishlatilganmi yoki maqsadli kiberjosuslik kampaniyalarida ishlatilganmi, noma’lum. Ko’rib chiqilayotgan muammolar CVE-2019-7286 va CVE-2019-7287 (ikkalasi ham xotira buzilishi bilan bog’liq zaifliklar). Birinchisi iOS operatsion tizimining asosiy komponentlaridan biri bo’lgan Foundation frameworkda mavjud. Hujumchi undan tizimdagi imtiyozlarni oshirish uchun foydalanishi mumkin.
Ikkinchi zaiflik dasturiy ta’minot va apparat vositalari o’rtasida kirish va chiqish ma’lumotlarini uzatishni amalga oshiradigan I/O Kit tizimiga ta’sir qiladi. Bu zaiflik yadro imtiyozlari bilan kodni o’zboshimchalik bilan bajarish imkonini beradi.
Ikkala muammo ham iOS 12.1.4 da hal qilindi. Ushbu versiyada FaceTime’dagi har qanday iPhone yoki iPad egasini kuzatishga imkon beradigan mashhur zaiflik ham tuzatildi. Foydalanuvchilarga imkon qadar tezroq yangi OT versiyasiga yangilash tavsiya etiladi.
