Во вторник Apple разослала пользователям обновление iOS 12.1.3, которое устраняет 31 уязвимость. Каждой из этих брешей был присвоен идентификатор CVE, но особенно интересными оказались две: CVE-2019-6227 и CVE-2019-6225.
Обе эти уязвимости были обнаружены экспертом компании Qihoo 360, их особенность заключается в том, что злоумышленники их использовали в реальных атаках, добиваясь выполнения кода за счет FaceTime.
Такие атаки требовали, чтобы пользователь нажал на вредоносную ссылку. Этого атакующие обычно добивались, грамотно используя социальную инженерию.
По сути, за наличие бреши ответственен баг в ядре iOS, который также позволяет провести джейлбрейк затронутого устройства.
Эксперты опубликовали proof-of-concept (PoC), демонстрирующий успешную атаку, в чем можно убедиться, посмотрев видео ниже:
В версии iOS 12.1.3 данная уязвимость устранена.
