Vulnerabilidad en iMessage permitiría a un atacante leer archivos en un iPhone (CVE-2019-8646)

La versión 12.4 de iOS resuelve una vulnerabilidad que se encontraba presente en iMessage y permitía que un atacante pudiera leer los contenidos de archivos en los dispositivos iOS de forma remota sin requerir interacción por parte del usuario.

 

La vulnerabilidad, conocida como CVE-2019-8646 fue descubierta por la security researcher Natalie Silvanovich de Google Project Zero, quien la reportó a la empresa Apple durante Mayo.

 

Según informó la researcher, la vulnerabilidad es causada por la clase _NSDataFileBackedFuture que puede ser deserializada incluso si se encuentra habilitado el secure encoding.

 

Dentro del alcance de la vulnerabilidad, la researcher describe en Bug Tracker de Project Zero que permite una lectura out-of-bounds pero también podría potencialmente permitir escritura out-of-bounds e incluso acceso a archivos locales.

 

Debido a que hay una POC disponible de forma pública, se recomienda que todos los usuarios de iOS actualicen a la versión 12.4 disponibilizada el 22 de Julio por parte de Apple, quien en las release notes de la actualización informaron que la vulnerabilidad que permitía la lectura out-of-bounds también se encontraba presente en los componentes Siri y Core Data, impactando todos los iPhone de 5S en adelante asaí como iPad Air e iPod Touch de la sexta generación en adelante.