Un código de prueba de concepto para jailbreak iPhone X ha sido creado por un investigador de seguridad. El código revela cómo dos vulnerabilidades se pueden encadenar para llevar a cabo una operación de fuga de la cárcel, y el ataque es bastante simple, que requiere un atacante para engañar a los usuarios a abrir una página especialmente diseñada a través de Safari.
"El PoC del Caos”Ha sido desarrollado por Zhao Qixun, investigador de seguridad de equipo de Vulcan Qihoo 360, y eso se nota “en los detalles (para principiantes) cómo obtener los detalles sobre tfp0 explotan A12”, como dijo el investigador en su artículo. Sin embargo, Zhao dijo que no se libere el código de explotación en sí, y las personas que quieren hacer jailbreak tendrán que completar por sí mismos o esperar a que la liberación de la comunidad jailbreak.
Caos PoC Exploit en detalle
El caos PoC código de explotación se basa en dos vulnerabilidades críticas en Apple Safari el navegador y el IOS, y que podría ser aprovechado por un atacante remoto dispuestos para hacer jailbreak iPhone X se ejecuta en iOS 12.1.2 y anterior. Las vulnerabilidades se manifestaban durante la piratería de contenido TianfuCup en noviembre del año pasado.
El código de explotación desencadena las dos vulnerabilidades - un defecto de corrupción de memoria que reside en la confusión de tipo Safari WebKit (CVE-2019-6227), y un defecto de corrupción de memoria de usuario-libre después de la IOS Kernel (CVE-2019-6225). Afortunadamente, Apple ya ha fijado los defectos en versión de IOS 12.1.3, y los usuarios se les insta a actualizar.
A continuación puede encontrar más información acerca de las dos vulnerabilidades.
CVE-2019-6227 Descripción
Una vulnerabilidad fue encontrado en Apple Safari hasta 12.0.2 (Navegador web) y clasificado como crítico. Afectada por este problema es una parte del componente WebKit. La manipulación con una entrada desconocida conduce a una vulnerabilidad de corrupción de memoria. El uso de CWE para declarar el problema lleva a CWE-119. Impactado es la confidencialidad, integridad, y la disponibilidad, dijeron los investigadores en un aviso.
CVE-2019-6225 Descripción
La vulnerabilidad se ha encontrado en Apple MacOS (Sistema operativo) y clasificado como crítico. Esta vulnerabilidad afecta a la funcionalidad del componente del núcleo. La manipulación con una entrada desconocida conduce a una vulnerabilidad de corrupción de memoria. La definición CWE para la vulnerabilidad es CWE-119. Como un impacto que se sabe que afectan a la confidencialidad, integridad, y la disponibilidad.
Los usuarios deben actualizar inmediatamente a la última versión de evitar exploits.