Уязвимости эксплуатируются в атаках на высшее руководство компаний в ряде стран.
Специалисты ИБ-стартапа ZecOps обнаружили в iOS сразу две уязвимости нулевого дня, которые Apple исправит в следующем релизе своей мобильной операционной системы iOS 13. Проблемы затрагивают iOS, начиная с версии iOS 6.0, выпущенной в сентябре 2012 года с выходом iPhone 5, и заканчивая актуальной iOS 13.4.1.
По словам исследователей, в прошлом году жертвами атак с эксплуатацией этих уязвимостей стали несколько их клиентов. Профессиональные хакеры используют уязвимости в целевых атаках на журналистов, подрядчиков, а также на высшее руководство и исполнительных директоров компаний в ряде стран, в том числе из списка Fortune 500.
Первую из обнаруженных уязвимостей можно проэксплуатировать удаленно и выполнить код на атакуемом iPhone, а для удаленной эксплуатации второй потребуется использовать еще одну. Первая уязвимость представляет собой так называемый zero-click, то есть, для ее эксплуатации участие жертвы не требуется.
Проэксплуатировать уязвимость можно, отправив жертве электронные письма, потребляющие большой объем памяти. При этом само письмо не обязательно должно быть объемным, достаточно вполне обычного письма, способного занять много оперативной памяти, например, с вложенными RTF-файлами.
Атака происходит еще до полной загрузки электронного письма, поэтому его содержимому не обязательно оставаться на устройстве. Исследователи не исключают того, что после успешной эксплуатации уязвимости злоумышленники удаляют свои письма со взломанного iPhone.
Ладно, не доказали. Но мы работаем над этим