Un codice proof-of-concept per il jailbreaking iPhone X è stato creato da un ricercatore di sicurezza. Il codice rivela come due vulnerabilità possono essere concatenati per eseguire un'operazione jailbreak, e l'attacco è abbastanza semplice, che richiede un utente malintenzionato di ingannare gli utenti ad aprire una pagina appositamente predisposta tramite Safari.
"Il PoC of Chaos”È stato sviluppato da Qixun Zhao, ricercatore di sicurezza a Vulcan squadra Qihoo 360, e si vede “in dettaglio (per principianti) come ottenere i tfp0 sfruttano dettagli sulla A12”, come il ricercatore ha detto nel suo articolo. Tuttavia, Zhao ha detto che non avrebbe rilasciato l'exploit codice stesso, e le persone che vogliono effettuare il jailbreak sarà necessario per completare da soli o aspettare per il rilascio della comunità jailbreak.
Caos PoC exploit in dettaglio
Il Caos PoC exploit di codice si basa su due vulnerabilità critiche a Apple browser Safari e iOS, e potrebbe essere sfruttato da un attaccante remoto disposti a jailbreak iPhone X in esecuzione su iOS 12.1.2 e precedenti. Le vulnerabilità manifestavano durante il contenuto di hacking TianfuCup nel novembre dello scorso anno.
Il codice exploit innesca le due vulnerabilità - un difetto corruzione tipo di memoria confusione residente in Safari WebKit (CVE-2019-6227), e a-libera-utente dopo la corruzione della memoria falla nel kernel iOS (CVE-2019-6225). Per fortuna, Apple ha già fissato i difetti nella versione iOS 12.1.3, e gli utenti sono invitati ad aggiornare.
Qui di seguito è possibile trovare ulteriori informazioni sui due vulnerabilità.
CVE-2019-6227 Descrizione
Una vulnerabilità è stata trovata in Apple Safari fino a 12.0.2 (Programma di navigazione in rete) e classificati come critici. Interessato da questo problema è una parte della componente WebKit. La manipolazione di un ingresso sconosciuta porta ad una vulnerabilità di corruzione della memoria. Utilizzando CWE di dichiarare il problema porta a CWE-119. Impattato è riservatezza, integrità, e disponibilità, hanno detto i ricercatori in un advisory.
CVE-2019-6225 Descrizione
La vulnerabilità è stato trovato in Apple MacOS (Sistema operativo) e classificati come critici. Questa vulnerabilità interessa una funzionalità del kernel componente. La manipolazione di un ingresso sconosciuta porta ad una vulnerabilità di corruzione della memoria. La definizione CWE per la vulnerabilità è CWE-119. Come un impatto è noto per influenzare la riservatezza, integrità, e disponibilità.
Gli utenti dovrebbero aggiornare immediatamente alla versione più recente per evitare exploit.