En annan missnöjd analytiker avslöjar nolldagars iOS 15-buggar

0 Shares

Upprörd över Apples senaste hantering av sitt säkerhetspremieprogram har en cybersäkerhetsforskare släppt proof-of-concept (PoC) exploateringskod för tre nolldagars sårbarheter i iOS 15.

Forskaren, som bara är känd under aliaset IllusionOfChaos, sa att hans handling är ett svar på Apples passivitet för att åtgärda sårbarheterna.

”Jag har rapporterat fyra 0-dagars sårbarheter i år mellan den 10 mars och den 4 maj, från och med nu finns tre av dem fortfarande i den senaste iOS-versionen (15.0) och en var åtgärdad i 14.7, men Apple bestämde sig för att dölja det och inte lista det på säkerhetsinnehållssidan ”, skrev forskaren.

TechRadar behöver dig!

Vi tittar på hur våra läsare använder VPN med strömmingssajter som Netflix så att vi kan förbättra vårt innehåll och erbjuda bättre råd. Den här undersökningen tar inte mer än 60 sekunder av din tid, och vi skulle uppskatta om du delar dina erfarenheter med oss.

>> Klicka här för att starta undersökningen i ett nytt fönster <<

Forskaren tillade att medan Apple inledningsvis bad om ursäkt för deras svar, svarade de senare inte ens på hans e -postmeddelande när han hotade att dela information om sårbarheterna inom tio dagar.

Fångad i byråkrati?

I inlägget sa forskaren att Apple i sitt första e -postmeddelande hävdade att företaget inte offentligt erkände sårbarheterna på grund av ett “behandlingsproblem”.

“När jag konfronterade dem bad de om ursäkt, försäkrade mig om att det hände på grund av ett behandlingsproblem och lovade att lista det på säkerhetsinnehållssidan för nästa uppdatering. Det har varit tre utgåvor sedan dess och de bröt sitt löfte varje gång ”, berättade forskaren.

IllusionofChaos gav Apple sedan tio dagar på sig att förklara orsaken till den fortsatta slöheten med att fixa buggarna och varnade dem för att detaljerna kommer att delas efter utgången av tidsramen. Eftersom Apple inte svarade har all forskning nu delats online.

”Min begäran ignorerades så jag gör vad jag sa att jag skulle göra. Mina handlingar är i enlighet med riktlinjer för ansvarsfullt avslöjande (Google Project Zero avslöjar sårbarheter inom 90 dagar efter att ha rapporterat dem till leverantören, ZDI – i 120). Jag har väntat mycket längre, upp till ett halvt år i ett fall ”, resonerar forskaren när han delade information om sårbarheterna tillsammans med PoC -utnyttjandekod för dem alla.

Intressant nog hävdar en anonym jailbreak -utvecklare att de har fixat alla tre sårbarheterna, knappt en dag efter att de avslöjats.

TechRadar Pro har kontaktat Apple för kommentar.

0 Shares