Un code de preuve de concept pour iPhone jailbreaking X a été créé par un chercheur de sécurité. Le code révèle comment deux vulnérabilités peuvent être chaînés pour effectuer une opération de jailbreak, et l'attaque est assez simple, exigeant un attaquant d'inciter les utilisateurs à ouvrir une page spécialement conçue via Safari.
"Le PoC du Chaos» A été développé par Qixun Zhao, chercheur en sécurité chez Team Vulcan Qihoo 360, et il montre « dans les détails (pour les débutants) comment obtenir les tfp0 exploiter les détails sur A12”, comme le chercheur a dit dans son article. Cependant, Zhao a dit qu'il ne libérerait pas l'exploit code lui-même, et les gens qui veulent jailbreak devront le compléter eux-mêmes ou attendre la sortie de la communauté jailbreak.
Chaos PoC Exploit en détail
Le Chaos PoC code d'exploitation est basé sur deux vulnérabilités critiques dans le navigateur Safari d'Apple et iOS, et il pourrait être exploité par des attaquants distants prêts jailbreak iPhone X sous iOS 12.1.2 et plus tôt. Les vulnérabilités démontraient au cours du contenu de piratage TianfuCup en Novembre l'année dernière.
Le code d'exploitation déclenche les deux vulnérabilités - une faille de corruption de mémoire de confusion de type résidant dans WebKit Safari (CVE-2019-6227), et une corruption de mémoire libre-après par l'utilisateur faille dans le noyau iOS (CVE-2019-6225). Heureusement, Apple a déjà fixé les failles dans la version iOS 12.1.3, et les utilisateurs sont invités à mettre à jour.
Vous trouverez plus d'informations sur les deux vulnérabilités.
CVE-2019-6227 Description de
Une vulnérabilité a été trouvée dans Apple Safari jusqu'à 12.0.2 (Navigateur Web) et classé comme critique. Affecté par cette question fait partie du composant WebKit. La manipulation d'une entrée inconnue conduit à une vulnérabilité de corruption de mémoire. En utilisant CWE de déclarer le problème conduit à CWE-119. Confidentialité est impacté, intégrité, et la disponibilité, chercheurs en un avis.
CVE-2019-6225 Description de
Une vulnérabilité a été trouvé dans Apple MacOS (Système d'exploitation) et classé comme critique. Cette vulnérabilité affecte une fonctionnalité du noyau composant. La manipulation d'une entrée inconnue conduit à une vulnérabilité de corruption de mémoire. La définition CWE pour la vulnérabilité est CWE-119. Comme un impact, il est connu pour affecter la confidentialité, intégrité, et la disponibilité.
Les utilisateurs doivent mettre à jour immédiatement à la dernière version pour éviter les exploits.