Google’ın siber güvenlik araştırmacıları, iMessage üzerinden kötü amaçlı hazırlanmış bir mesaj göndererek uzaktaki saldırganların Apple iOS cihazlarını hedeflemelerine olanak verebilecek 5 güvenlik açığından 4’ünün ayrıntılarını ve kavram kanıtı istismarlarını açıkladılar.
Kullanıcı etkileşimi gerektirmeyen tüm güvenlik açıkları, Apple tarafından, geçen hafta en son iOS 12.4 güncellemesinin yayımlanmasından sonra Google Project Zero’dan Samuel Groß ve Natalie Silvanovich tarafından Apple’a bildirildi .
Bu güvenlik açıklarından dördü, uzaktan saldırganların etkilenen iOS aygıtlarında rasgele kod yürütme gerçekleştirmelerine olanak tanıyan “etkileşim içermeyen” kullanım sonrası ve bellek bozulması sorunlarıdır.
Bununla birlikte, araştırmacılar bu dört kritik RCE güvenlik açığından üçünün ayrıntılarını ve istismarlarını henüz yayınlamamış ve son yama güncellemesi bu sorunu tam olarak çözemediğinden bir tanesini (CVE-2019-8641) gizli tutmuştur.
Beşinci güvenlik açığı (CVE-2019-8646), yalnızca iMessage yoluyla hatalı biçimlendirilmiş bir mesaj göndererek uzaktan da gerçekleştirilebilir. Ancak kod yürütme yerine, bu hata bir saldırganın kurbanın iOS aygıtında depolanan dosyaların içeriğini sızdırılmış bellek yoluyla okumasını sağlar.
Aşağıda, dört güvenlik açığının tamamı için kısa detaylar, güvenlik danışma belgesine bağlantılar ve PoC istismarları bulabilirsiniz:
- CVE-2019-8647 (iMessage yoluyla RCE) – Bu, NSArray initWithCoder yöntemi kullanıldığında, güvensiz seri hale getirme nedeniyle keyfi kod yürütülmesine neden olabilecek iOS’un Temel Veri çerçevesinde bulunan kullanım sonrası bir güvenlik açığıdır.
- CVE-2019-8662 (iMessage yoluyla RCE) – Bu kusur, yukarıdaki serbest kullanım sonrası güvenlik açığına da benzer ve iMessage aracılığıyla uzaktan tetiklenebilen iOS’un QuickLook bileşeninde de bulunur.
- CVE-2019-8660 (iMessage yoluyla RCE) – Bu bir bellek bozulması sorunudur. Temel veri çerçevesinde ve başarılı bir şekilde kullanılırsa uzaktan saldırganların beklenmedik uygulamaların sonlandırılmasına veya rasgele kod yürütülmesine neden olabileceği Siri bileşeninde yer almaktadır.
- CVE-2019-8646 (iMessage Üzerinden Dosya Okuma) – Siri ve Çekirdek Veri iOS bileşenlerinde de bulunan bu kusur, saldırganın, kullanıcı mobil cihazlarıyla kullanıcı etkileşimleri olmadan uzaktan iOS aygıtlarında depolanan dosya içeriğini okumasına izin verebilir.
Bu 5 güvenlik açığının yanı sıra, Silvanovich de geçen hafta ayrıntıları yayınladı ve uzak saldırganların uzak bir aygıttan bellek sızdırmalarına ve dosyaları okumalarına olanak tanıyan başka bir sınır dışı okuma güvenlik açığı için bir PoC açığını kullandı.
CVE-2019-8624 olarak atanan güvenlik açığı, watchOS’un Digital Touch bileşeninde bulunur ve Apple Watch Series 1 ve sonraki sürümlerini etkiler. Bu konu Apple tarafından watchOS 5.3’ün yayımlanmasıyla düzeltildi.
Bu altı güvenlik açığının tümü için kavram kanıtı kullanımları (POC) artık halka açık olduğundan, kullanıcılara Apple cihazlarını en kısa sürede yazılımın en son sürümüne yükseltmeleri önerilir.
Güvenlik açıklarının yanı sıra, iPhone, iPad ve iPod touch için uzun zamandır beklenen iOS 12.4 güncellemeleri, kurulum sırasında verileri kablosuz olarak aktarma ve doğrudan eski bir iPhone’dan yeni bir iPhone’a geçirme yeteneği de dahil olmak üzere bazı yeni özelliklerle geldi.
The Hacker News
