Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Używasz applowego Facetime? Ktoś może przejąć Ci telefon/komputer. Bonus – to samo może zrobić przez Bluetooth. Łatajcie.
Ktoś się chyba zdenerwował na Nadgryzione Jabłko. iOS dostępny na iPhony / iPady właśnie otrzymał aktualizację do wersji 12.4, która zawiera potężną liczbę aktualizacji bezpieczeństwa. Mamy tutaj co najmniej kilka błędów klasy remote code execution, w tym dość zaskakujący w Facetime:
Impact: A remote attacker may be able to cause arbitrary code execution
Nie lepiej jest w systemach macOS przeznaczonych na laptopy. Tutaj również poza możliwością wykonania kodu w OS przez Facetime, jest możliwość wykonania kodu przez… Bluetooth:
Impact: A remote attacker may be able to cause arbitrary code execution
Co ciekawe, ten sam błąd załatano w Androidzie w maju pisząc:
The vulnerability in this section could enable a remote attacker using a specially crafted transmission to execute code within the context of a privileged process.
Może to tylko podgrzewanie atmosfery i nie da się zrobić sensownego exploitu? Może tak, może nie. Warto w każdym razie dmuchać na zimne i łatać.
PS
Jeśli ktoś lubi bardziej standardowe podatności – dostaliśmy w tej paczce łatki na 22 podatności w WebKit (w tym możliwość wykonania kodu w OS przez wejście na odpowiednio spreparowaną stronę).
–ms