Haberler

ZecOps iOS’un mail uygulamasında açık buldu!

ZecOps iOS’un varsayılan mail uygulamasında 2018 Ocak ayına kadar uzanan bir dizi açık bulunduğunu yayınladı.

Analizleri sonucu , iPhone ve iPad lere bulunan Mail uygulamasında birkaç tetikleme ile Sistemi ele geçirebildiğini ve hedefli saldırılarda çok önemli rol oynadığını belirtti.

  • Açığın test edildiği sürümler iOS 13.4.1 e kadar denendi,
  • iOS 11.2.2 ve daha öncesinide kapsadığını tahmin ediliyor, iOS 6 ya kadar geniş bir yelpaze olduğu düşünülüyor. Henüz denenmedi.
  • iOS 6 iPhone 5 ile sürümüyle birlikte çıkmıştı.

MIME Kitaplığındaki MFMutableData fonksiyonunu, Sistem çağrılarını ftruncate() için izin verilen sınırların dışında yazmaya yetkili olduğunu Buldu. Ayrıca, Sistem çağrısı frtuncate’n başarısız olduğunu beklemeden OOB-Write tetiklemek için bir yol bulundu ve bunun gibi bir çok tetikleme açığını gördü.

Etkilenen kütüphane/System/Library/PrivateFrameworks/MIME.framework/MIME

Etkilenen fonksiyon-[MFMutableData appendBytes:length:]

Apple, bu iki açık için yamayı iOS 13.4.5 beta sürümünde yayınladı. Şu anda açığı kapatmak için en iyi ihtimal beta sürümünü kullanmanız gibi gözüküyor.

Özet olarak;

Güvenlik açığı uzaktan kod yürütülmesine izin veriyor ve saldırganın önemli miktarda bellek tüketen E-postalar gönderebiliyor.

Güvenlik açığı için büyük boyutlu mail göndermesine gerek yok. Normal bir email göndermesi yeterli oluyor.

Güvenlik açığı, E-posta ulaştığı anda tetiklenebiliyor, kişinin maili indirmesine dahi gerek olmayabiliyor.

Saldırgan maili gönderdikten sonra, cihazınızdan maili silebiliyor.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu

Reklam Engelleyici Algılandı

ÇözümPark Bilişim Portalı gönüllü bir organizasyon olup tek gelir kaynağı reklamlardır. Bu nedenle siteyi gezerken lütfen reklam engelleme eklentinizi kapatın veya Çözümpark web sitesi için izin tanımı yapın. Anlayışınız için teşekkürler.