Σχεδόν σε κάθε update περιλαμβάνονται και bug fixes και security patches. Σύμφωνα με το λόγο όμως ενός ερευνητή ασφαλείας, στο νέο iOS 15 έχουν μεταφερθεί τρεις zero-day ευπάθειες παρόλο που ο ίδιος έχει ειδοποιήσει την Apple.
Ανέφερα τέσσερις 0-day ευπάθειες αυτή τη χρονιά μεταξύ 10 Μαρτίου και 4 Μαΐου, έως τώρα τρεις από αυτές είναι ακόμα παρούσες στη νέα έκδοση iOS (15.0) και η μία διορθώθηκε στο 14.7, αλλά η Apple αποφάσισε να τις συγκαλύψει και να μην τις συμπεριλάβει στη σελίδα του περιεχομένου ασφαλείας.
🚨Apple ignored this person. Now they’re publishing multiple proofs-of-concepts:
“I've reported four 0-day vulnerabilities this year […], three of them are still present in [iOS 15.0] and one was fixed in 14.7, but Apple decided to cover it up”🤯https://t.co/eKzq6BEupG
— Kosta Eleftheriou (@keleftheriou) September 24, 2021
Όταν τους αντιμετώπισα, απολογήθηκαν, με καθησύχασαν πως συνέβη λόγω ενός προβλήματος στην επεξεργασία και υποσχέθηκαν να το συμπεριλάβουν στη σελίδα περιεχομένου ασφαλείας στο επόμενο update. Έχουν υπάρξει τρεις νέες εκδόσεις από τότε και αθέτησαν την υπόσχεσή τους κάθε φορά.
Ο ερευνητής έδωσε στην Apple την ευκαιρία να απαντήσουν και να προσφέρουν μία εξήγηση γιατί δεν έκαναν δημόσιες τις πληροφορίες, όταν όμως δεν πήρε απάντηση αποκάλυψε το θέμα. Η Apple δεν έχει απαντήσει δημόσια ακόμα, εφόσον όμως οι ευπάθειες είναι πλέον δημόσιες και μπορεί να τις εκμεταλλευτεί κάποιος hacker, όλοι ελπίζουν σε κάποιο patch το συντομότερο δυνατό. Τις τεχνικές πληροφορίες μπορείτε να τις βρείτε εδώ.
