Apples nyeste Security Advisory indeholder i alt 51 sikkerhedshuller. Virksomheden udgivet iOS 12.2 at løse disse fejl, der påvirker iPhone 5 og senere, iPad Air og senere, og iPod touch 6. generation.
51 Sårbarheder Fast i iOS 12.2
De fleste af de sårbarheder er placeret i WebKit, Apples web rendering engine, udnyttet af apps og web-browsere. En af disse sårbarheder er CVE-2019-6222, som kunne gøre det muligt for en hjemmeside til at få adgang til mikrofonen på enheden, uden angivelse af brug.
Endnu en, CVE-2019-8515, er beskrevet som en cross-oprindelse problem med den hente API, der kan udnyttes ved at behandle skadeligt webindhold til at videregive følsomme brugeroplysninger.
CVE-2019-8503, som også er placeret i WebKit, er et logisk problem, der kunne have tilladt ondsindede websteder til at udføre scripts i forbindelse med et andet site.
CVE-2019-8566 gav adgang til mikrofon
Men, den mest alarmerende problem synes at være CVE-2019-8566, en sårbarhed i Apples ReplayKit. Den ReplayKit anvendes af forskellige iOS, og er en komponent til optagelse og streaming af lyd og video-feeds fra en enhed.
Ifølge den rådgivende, sårbarheden i denne komponent ville have tilladt ondsindede programmer adgang mikrofoner uden indikation for brugeren, dermed lade dem optage eller streame nærliggende samtaler.
“En API problem eksisterede i håndteringen af mikrofon data. Dette spørgsmål blev behandlet med forbedret validering,” det rådgivende sagde.
Et andet alvorligt problem påvirker Geoservices, den komponent, der navigerer geo-location data. Hvis du klikker på et ondsindet SMS link kunne have ført til kørsel af vilkårlig kode på grund af CVE-2019-8553, en hukommelse korruption fejl.
CVE-2019-8553 blev også behandlet i iOS 12.2, en hukommelse håndtering emne.
Faktisk, det viser sig, at hukommelsen håndtering fejl er blandt de mest udbredte sikkerhedsfejl. Ifølge Microsoft, 70 procent af alle sikkerhedshuller behandles af virksomheden er faktisk relateret til hukommelse håndtering.
Apple fast også flere kerne spørgsmål, såsom CVE-2019-8514 som kunne have tilladt en ansøgning for at få øgede rettigheder, og CVE-2019-7293, som kunne have tilladt en lokal bruger at læse kerne hukommelse.