漏洞预警|苹果 iOS 系统4个远程代码执行高危漏洞

漏洞预警|苹果 iOS 系统4个远程代码执行高危漏洞
2019-08-03 12:33:15 Author: mp.weixin.qq.com(查看原文) 阅读量:52 收藏

漏洞描述

近日，Google Project Zero研究人员在iOS操作系统中发现了多个漏洞，其中有四个漏洞可造成无交互远程代码执行（CVE-2019-8660、CVE-2019-8662、CVE-2019-8647、CVE-2019-8641）。

CVE-2019-8660

此漏洞是存在于iOS Core Data框架以及Siri组件中的内存破坏漏洞，可导致远程代码执行。此漏洞可在无需交互的情况下通过 iMessage远程触发，漏洞若被成功利用，可造成应用异常崩溃，或者任意代码执行。

CVE-2019-8662

此漏洞是存在于iOS QuickLook组件中的 UAF漏洞，此漏洞可在无需交互的情况下通过 iMessage远程触发，可以导致任意代码执行。

CVE-2019-8647

此漏洞是存在于iOS Core Data中的UAF漏洞，因调用NSArray的initWithCoder方法时存在不安全的反序列化而造成。

此漏洞可在无需交互的情况下通过 iMessage远程触发，可导致Springboard主屏管理应用崩溃，造成任意代码执行。

CVE-2019-8641

越界读取漏洞，可导致任意代码执行。

高危

iPhone 5s之后所有版本

iPad Air之后所有版本

请尽快升级系统到iOS 12.4版本

https://bugs.chromium.org/p/project-zero/issues/detail?id=1858

https://securityaffairs.co/wordpress/89144/hacking/ios-rce-flaws.html

如需帮助请咨询 [email protected]

文章来源: https://mp.weixin.qq.com/s/svSLuKZmvLlFh9hxBPOryw
如有侵权请联系:admin#unsafe.sh