Używasz applowego Facetime? Ktoś może przejąć Ci telefon/komputer. Bonus – to samo może zrobić przez Bluetooth. Łatajcie.

Ktoś się chyba zdenerwował na Nadgryzione Jabłko.  iOS dostępny na iPhony / iPady właśnie otrzymał aktualizację do wersji 12.4, która zawiera potężną liczbę aktualizacji bezpieczeństwa. Mamy tutaj co najmniej kilka błędów klasy remote code execution, w tym dość zaskakujący w Facetime:

Impact: A remote attacker may be able to cause arbitrary code execution

Nie lepiej jest w systemach macOS przeznaczonych na laptopy. Tutaj również poza możliwością wykonania kodu w OS przez Facetime, jest możliwość wykonania kodu przez… Bluetooth:

Impact: A remote attacker may be able to cause arbitrary code execution

Co ciekawe, ten sam błąd załatano w Androidzie w maju pisząc:

The vulnerability in this section could enable a remote attacker using a specially crafted transmission to execute code within the context of a privileged process.

Może to tylko podgrzewanie atmosfery i nie da się zrobić sensownego exploitu? Może tak, może nie.  Warto w każdym razie dmuchać na zimne i łatać.

PS
Jeśli ktoś lubi bardziej standardowe podatności – dostaliśmy w tej paczce łatki na 22 podatności w WebKit (w tym możliwość wykonania kodu w OS przez wejście na odpowiednio spreparowaną stronę).

–ms