Google revela mais 3 vulnerabilidades zero-day da Apple
Depois de expor três vulnerabilidades críticas de dia zero em sistemas operativos Windows, o programa de pesquisa de vulnerabilidades do Google Project Zero revelou a existência de mais três vulnerabilidades de dia zero, mas desta vez, na plataforma OS X, da Apple.
A equipe publicou três explorações de dia zero para OS X da Apple, com informações suficientes para um hacker experiente para explorar os bugs em um ataque. É claro, os detalhes sobre os dias de zero não foram liberados sem alertar Apple para estas questões.
PRIMEIRA zero-day VULNERABILIDADE
A primeira falha, " networkd OS X 'effective_audit_token' type XPC confusão sandbox fuga , "permite que um atacante passar comandos arbitrários ao networkd sistema OS X daemon, porque ele não verifica sua entrada corretamente.
A falha pode já ter sido mitigado no OS X Yosemite , mas não há uma explicação clara sobre se este é o caso.
SEGUNDA zero-day VULNERABILIDADE
A segunda e terceira vulnerabilidade ambos estão relacionados com a baixa no nível do OS X I quadro / kernel OKit.
A falha, " OS X IOKit execução de código do kernel devido ao cancelamento de referência ponteiro NULL em IntelAccelerator ", dá aos usuários locais que podem executar código em uma raiz máquina OS X ou acesso de superusuário através de ponteiro nulo dereferencing, permitindo aumento de privilégios.
TERCEIRO zero-day VULNERABILIDADE
O último mas não menos importante, " OS X IOKit corrupção de memória do kernel devido ao mau Bzero em IOBluetoothDevice, "dá um invasor a capacidade de escrever na memória kernel, potencialmente permitindo-lhes falhar sistemas ou de acesso a dados privados.
Todos os três vulnerabilidades no OS X não parece ser altamente crítico como nenhum desses exploits remotamente, uma vez que todas elas requerem acesso físico ao computador de destino, a fim de causar qualquer dano real. No entanto, a principal preocupação é que as façanhas poderia ser combinada com uma separada explorar para elevar os privilégios de nível inferior e ganhasse controle sobre Macs vulneráveis.
Google disponibilizados POC de todos os três FALHAS
A equipe também fez a prova de conceito (POC) código de exploração disponíveis, que fornecem detalhes técnicos o suficiente para escrever um código de ataque. Google relatada em particular as falhas para a Apple em 20 de outubro, 21 de outubro e 23 de outubro de 2014. Após o término do período de divulgação de 90 dias, a empresa publicou todos os bugs.
GOOGLE do projeto ZERO brincou MICROSOFT
Não há nenhuma surpresa se o Project Zero do Google publicou vulnerabilidades que ainda estão para ser corrigido. Nas últimas semanas, a equipe revelou três falhas de segurança separadas no sistema operacional da Microsoft Windows, antes de a Microsoft planejava patch-los.
Project Zero do Google é uma iniciativa que identifica falhas de segurança em software diferente e convida as empresas a divulgar publicamente e erros de correção no prazo de 90 dias de descobri-las. Apertado política de divulgação de 90 dias da empresa incentiva todos os fornecedores de software para corrigir os seus produtos antes de serem exploradas pelos hackers e cibercriminosos.
A Apple não forneceu quaisquer detalhes sobre como reparar os problemas. No entanto, na empresa de segurança do produto página, o iPad e os estados fabricante do iPhone, a Apple não "divulga, discute ou confirma problemas de segurança até que uma investigação tenha sido feita e que as correções ou versões necessárias estejam disponíveis".
Comentários