کد اثبات مفهومی برای آسیبپذیریهای خطرناک موجود در هسته iOS منتشر شد.
منبع : وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات
کد اثبات مفهومی برای آسیبپذیریهای خطرناک موجود در هسته iOS منتشر شد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، اخیرا آسیبپذیریهای حیاتی در iOS وصله شده که بهرهبرداری زنجیرهای از آنها به نفوذگر اجازه میداد تا کنترل کامل موبایل هدف را در دست بگیرد.
بهتازگی کد اثبات مفهومی برای بهرهبرداری از این آسیبپذیریها منتشر شدهاست. در نسخه ۱۰.۳.۲ از iOS که اپل آن را اواسط ماه می منتشر کرد هفت آسیبپذیری در AVEVideoEncoder و یک آسیبپذیری IOSurface وصله شدهاست.
اپل میگوید مهاجم با بهرهبرداری از این آسیبپذیریها میتوانست به امتیازات سطح هسته ارتقا یابد و معتقد است تمامی نسخههای این سیستمعامل پیش از آخرین نسخه را تحت تأثیر قرار دادهاست.
این آسیبپذیریها در بازههای زمانی ۲۴ ژانویه تا ۲۰ مارس کشف شده و به اپل گزارش شدهاند. محققی که این آسیبپذیریها را کشف کرده این هفته در یک نشست امنیتی در سنگاپور اعلام کرد که هنگام بررسی ماژولهای هسته با این آسیبپذیریها مواجه شدهاست. بررسیهای او موجب شناسایی ماژول کمتر شناختهشدهای با نام AppleAVE شده که حتی فاقد اصول امنیتی اولیه است.
این محقق همچنین نشان داد چگونه آسیبپذیریهای موجود در ماژولهای AppleAVE و IOSurface که میتواند منجر به ایجاد شرایط منع سرویس، ارتقاء امتیاز و افشای اطلاعات شود، میتوانند بهطور زنجیرهای مورد بهرهبرداری قرار گرفته و باعث خواندن/نوشتن پروندههای دلخواه و دسترسیهای ریشه شوند. این محقق امنیتی در یک پست وبلاگی گفت: «بهرهبرداری از این آسیبپذیریها میتواند امتیازات مهاجم را ارتقاء داده و در نهایت منجر به این شود که کنترل دستگاه هدف را در دست بگیرد.»
این محقق برای این آسیبپذیریها یک کد اثبات مفهومی ارائه داده که بهرهبرداری zIVA را فراخوانی کرده و یافتههای خود را نشان میدهد. مهاجم با بهرهبرداری میتواند کنترل کامل هسته را در دست گرفته و درنتیجه برای جیلبریک دستگاه از آن استفاده کند. جزییات برخی از این آسیبپذیریها بهطور عمومی افشا شدهاست.