Ein Proof-of-Concept-Code für Jailbreak iPhone X wurde von einem Sicherheitsforscher geschaffen. Der Code zeigt, wie zwei Sicherheitsanfälligkeiten verkettet werden können Jailbreak Vorgang auszuführen, und der Angriff ist ganz einfach, einen Angreifer erfordern Benutzer dazu verleiten, eine speziell gestaltete Seite über Safari öffnen.
"Die PoC-of Chaos“Wurde entwickelt von Qixun Zhao, Sicherheitsforscher bei Qihoo 360 Vulcan-Team, und es zeigt „in Details (für Anfänger) wie man die tfp0 ausnutzen Details zu A12”, wie der Forscher sagte in seinem Artikel. Jedoch, Zhao sagte er der Exploit-Code nicht freigeben würde selbst, und Menschen, die jailbreak wollen, müssen sie sich vervollständigen oder für die Jailbreak-Community Release warten.
Chaos PoC Exploit im Detail
Der Chaos PoC-Exploit Code basiert auf zwei kritische Schwachstellen in Apple Safari Browser und iOS, und es könnte von Angreifern über das Netzwerk genutzt werden bereit iPhone X läuft auf iOS Jailbreak 12.1.2 und früher. Die Sicherheitslücken wurden im November letztes Jahr während des TianfuCup Hacking Inhalts demonstrieren.
Der Exploit-Code löst die beiden Schwachstellen - eine Art Verwirrung Speicherfehler Fehler in Safari WebKit mit Wohnsitz (CVE-2019-6227), und ein Benutzer-after-freie Speicherbeschädigung Fehler in der IOS Kernel (CVE-2019-6225). Zum Glück, Apple hat bereits die Fehler in iOS Version behoben 12.1.3, und Benutzer werden aufgefordert, zu aktualisieren.
Im Folgenden finden Sie weitere Informationen über die beiden Schwachstellen finden.
CVE-2019-6227 Beschreibung
Wurde eine Sicherheitslücke in Apple Safari gefunden bis zu 12.0.2 (Webbrowser) und als kritisch eingestuft. Betroffen von diesem Problem ist ein Teil der Komponente WebKit. Die Manipulation mit einem unbekannten Eingang führt zu einer Speicherbeschädigung. Mit CWE das Problem zu erklären, führt zu CWE-119. Beeinflusst ist Vertraulichkeit, Integrität, und Verfügbarkeit, Forscher sagten, in ein beratendes.
CVE-2019-6225 Beschreibung
A Verwundbarkeit wurde in Apple MacOS gefunden (Betriebssystem) und als kritisch eingestuft. Diese Sicherheitsanfälligkeit betrifft eine Funktionalität der Komponente Kernel. Die Manipulation mit einem unbekannten Eingang führt zu einer Speicherbeschädigung. Die CWE-Definition für die Verwundbarkeit ist CWE-119. Als Auswirkung ist es bekannt, die Vertraulichkeit beeinflussen, Integrität, und Verfügbarkeit.
Benutzer sollten sofort auf die neueste Version aktualisieren Exploits zu vermeiden.