Apple

Тази седмица Apple пусна голям ъпдейт на софтуерните си продукти, включително и операционната система iOS. В новата версия iOS 12.1 са отстранени редица уязвимости и в настоящата статия ще разгледаме някои от тях.

Закърпени дупки във FaceTime

В iOS 12.1 са отстранени четири проблема със сигурността на видеомесинджъра FaceTime.

Според публикувания доклад две от уязвимостите позволяват на „външно лице да стартира обаждане по FaceTime, което задейства зловреден код“. Няма по-детайлна информация за това как точно може да протече евентуална атака.

Третата уязвимост позволява изпълнението на зловреден код чрез изпращането на компрометирано видео в месинджъра. Четвъртата уязвимост може да предизвика изтичане на памет.

Ироничното е, че по-малко от денонощие, след като iOS 12.1 беше пусната, се появи видео с нова уязвимост във FaceTime. Тя позволява разглеждането на контакти в телефона без необходимостта да се отключва устройството. По-рано тази година авторът на видеото Хосе Родригез беше открил други две уязвимости, които са отстранени в iOS 12.1

Събиране на данни от заключен iPhone

Te позволяват да се преглеждат данни от заключен iPhone. Става дума за уязвимости във VoiceOver и Notes. VoiceOver е функция, която се използва от потребители с нарушено зрение. Уязвимостта позволява да се разглеждат снимките на паметта на устройството, без да се налага то да се отключва.

Уязвимостта в Notes прави възможно споделянето на данни от заключено устройство.

Подобрения по Safari

Поправени са няколко бъга в браузъра Safari. Два от тях са открити във функцията Reader и са позволявали изпълнението на UXSS (Universal Cross-site Scripting) атака.

Други четири уязвимости са открити в енджина WebKit. Две от тях позволяват да се зарази устройството със зловреден код. За целта потребителят трябва да отвори специално създадено за атаката уеб съдържание.

Една от уязвимостите засяга адрес бара на Safari. Тя позволява на злонамерено лице да манипулира браузъра така, че той да показва грешен интернет адрес. Така потребителят може да си мисли, че отваря легитимен сайт (например заглавната страница за вход към Gmail), докато всъщност отваря фишинг страница.

Четвъртата уязвимост е позволявала да се осъществи DoS атака на устройството. Това е било възможно да се случи, ако на браузъра се зареди зловреден сайт.

Обновената версия на операционната система е съвместима с iPhone 5s и нагоре, iPad Air и по нови-модели, както и iPod touch 6th generation. Можете да разгледате и пълен списък с всички обновления, засягащи продуктите на Apple.

За да обновите софтуера на устройството си до iOS 12.1, влезте в:

Settings > General > Software Update

Microsoft обнови своята bug bounty програма (система, която предлага заплащане на потребители, които открият уязвимости в продуктите и услугите на компанията). Наградата, която софтуерният гигант е склонен да плати за открита пробойна в системите си за работа с лични данни, е до 100 000 USD – затова, запретвайте ръкави и започвайте да търсите.

Кои услуги обхваща новата програма?

От Microsoft коментират, че са инвестирали значителни средства в създаването, имплементирането и подобряването на системите на компанията, които работят с автентикацията и личните данни на потребителите на услугите ѝ. Целта – да се въведат мерки като сигурни средства за автентикация и логин, сигурност на API-тата на компанията и свеждане до минимум на рисковете от инфраструктурна гледна точка.

Новата Microsoft Identity Bounty Program засяга Microsoft Account и Azure Active Directory, както и някои имплементации на OpenID (пълен списък – тук). Наградите, които обещава компанията, са между 500 и 100,00 USD – в зависимост от сериозността на откритата уязвимост.

Критерии за участие?

За да кандидатствате, трябва да отговаряте на следните критерии:

• Откриете уникален и незасичан критичен или важен недостатък в услугите на Microsoft за автентикация
• Откриете уникален и незасичан недостатък, който води до възможност за кражба на профил в Microsoft или в Azure Active Directory.
• Откриете уникален и незасичан недостатък в изброените OpenID стандарти
• Може да изпращате уязвимости за всяка версия на приложението Microsoft Authenticator, но възнаграждения се заплащат само, ако уязвимостта засяга най-новата му достъпна публична версия.
• Включите описание на проблема, който сте открилии кратки стъпки за възпроизвеждането му, които лесно се разбират
• Уточните какво точно е въздействието на уязвимостта върху засегнатата система
• Опишете вектор на атака, ако не е очевиден.

Уязвимостта трябва да засяга и някой от следните инструменти за автентикация:

• windows.net
• microsoftonline.com
• live.com
• live.com
• windowsazure.com
• activedirectory.windowsazure.com
• activedirectory.windowsazure.com
• office.com
• microsoftonline.com
• Microsoft Authenticator за iOS и Android

Кой друг дава награди?

Или по-точно – кой не дава. Най-високо за момента официално плащат от Microsoft (максималната награда по другите  bug bounty програми на компанията стига до 200 000 USD). А Facebook дори не са сложили ограничение за максималната награда…

Ето част от другите по-известни технологични гиганти и наградите от тях:

• Intel: между 500 и 30 000 USD (колко ли е платено на откривателите на Spectre и Meltdown?)
• Yahoo: до 15 000 USD
• Snapchat: между 2 000 и 15 000 USD
• Cisco: между 100 и 2 500 USD
• Dropbox: между 12 167 и 32 768 USD
• Apple: до 200 000 USD
• Facebook: от 500 USD, без ограничение в максималния праг
• Google: между 300 и 31 337 USD
• Mozilla: между 500 и 5 000 USD
• Twitter: между 140 и 15 000 USD
• PayPal: между 50 и 10 000 USD
• Uber: до 10 000 USD
• LinkedIn: не са оповестили нито минимум, нито максимум

Какво чакате още, търсете!

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.

Последен ъпдейт на 28 юни 2018 в 13:14 ч.

Ако използвате macOS или iOS, време е за ъпгрейд на операционната ви система, за да запушите 4 сериозни уязвимости в сигурността на устройството си.

От какво ще се предпазите:

1. Две от критичните уязвимости са CVE-2018-4200 и CVE-2018-4204. Те засягат WebKit, енджинът на уеб браузъра на Apple Safari (версиите му и за macOS, и за iOS. Те позволяват изпълнението на произволен код при посещение за заразени уебсайтове от страна на уязвими потребители.
2. CVE-2018-4187 е бъг в софтуера за парсване на уеб адреси от страна на QR четеца на операционната система. Благодарение на нея, може лесно да се създаде QR код, който да показва невинно изглеждащо име на хост в известието показано от устройството, докато връзката сочи към злонамерен сайт
3. CVE-2018-4206 – засяга Crash Reporter, приложението, което изпраща Unix краш логове на инженерите на Apple с цел откриване на потенциални бъгове, довели до забиване на устройствата. Грешката в него дава на приложението завишени права.

Ъпдейти за tvOS, watchOS и iTunes не са налични, но предвид предишния ни опит в подобни ситуации, можем да заключим, че може да ги очакваме скоро, тъй като WebKit е наличен и в тях.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.