צמד באגים של iOS שזוהו כפי שנפתרו על ידי אפל במהדורת iOS 12.1.4 האחרונה שלה נוצלו בהצלחה על ידי האקרים, על פי חוקר של גוגל ששיתף ביום חמישי פרטים על נקודות התורפה של יום האפס.
המהדורה האחרונה של iOS 12.1.4 של אפל, הונפקהמוקדם יותר היום, מכיל תיקונים לפגמי Foundation ו-IOKit שלפי חוקר האבטחה בן הוקס, שימשו לפריצת מכשירים בטבע.
כְּמוֹציין על ידי ZDNet, הוקס, מנהיג צוות האבטחה Project Zero של גוגל, שיתף את החשיפהבטוויטרבסוף יום חמישי, ואמרו כי באגי ה-iOS מנופו כנקודות תורפה של יום אפס.
איך בדיוק נוצלו הפגיעות ועל ידי מי לא ידוע.
שני הבאגים פורטו באפלפירוט תיעודשינויי אבטחה המסופקים עם חבילת iOS 12.1.4.
נרשם עם המזהה CVE-2019-7286, פגם הקרן כרוך בבעיית שחיתות זיכרון שעלולה לאפשר לאפליקציה לקבל הרשאות מוגברות ב-iPhone 5s ואילך, iPad Air ואילך, ו-iPod touch דור 6. חוקר אנונימי, Clement Lecigne מ-Google Threat Analysis Group, Ian Beer מ-Google Project Zero וסמואל גרו מ-Google Project Zero זכו למציאת הפגם.
הבאג השני, שזוהה כ-CVE-2019-7287, כרוך גם הוא בפגיעה בזיכרון, אך במקום להעניק הרשאות מוגברות הוא מאפשר לאפליקציה לקוד מנהלים עם הרשאות ליבה באייפון 5s ואילך, iPad Air ואילך, ו-iPod touch דור 6 . אותם חוקרים קיבלו את הממצא.
אפל שחררה את iOS 12.1.4 לצד עדכון משלים ל-macOS Mojave כדי לטפל בפגם ה-FaceTime המתפרסם ברבים שאיפשר למשערים לצותת לשיחות FaceTime של הקבוצה. העדכון גם תיקן באג של Live Photos ב-FaceTime שהתגלה לאחר שאפל ערכה "ביקורת אבטחה יסודית" של השירות. פרטים על הפגיעות של Live Photos עדיין לא פורסמו לציבור.
