Il codice exploit proof-of-concept per tre vulnerabilità zero-day iOS (e una quarta patchata a luglio) è stato pubblicato su GitHub dopo che Apple ha ritardato l'applicazione delle patch e non è riuscita a accreditare la persona che le ha segnalate.
Denis Tokarev (che usa l' handle Twitter di Illusion Of Chaos ), lo sviluppatore di software che ha trovato i quattro zero-day, li ha segnalati ad Apple tra il 10 marzo e il 4 maggio. Tuttavia, la società ne ha silenziosamente riparato uno a luglio con il rilascio di 14.7 senza dare credito nell'avviso di sicurezza.
"Quando li ho affrontati, si sono scusati, mi hanno assicurato che era successo a causa di un problema di elaborazione e hanno promesso di elencarlo nella pagina dei contenuti di sicurezza del prossimo aggiornamento", ha detto lo sviluppatore oggi. "Ci sono state tre uscite da allora e ogni volta hanno infranto la loro promessa".
"A causa di un problema di elaborazione, il tuo credito sarà incluso negli avvisi di sicurezza in un prossimo aggiornamento. Ci scusiamo per l'inconveniente", gli ha detto Apple quando gli è stato chiesto perché l'elenco dei bug di sicurezza iOS corretti non includeva il suo zero-day.
Da allora, tutti i tentativi fatti per ottenere una spiegazione per l'incapacità di Apple di correggere il resto di queste vulnerabilità senza patch e per il loro rifiuto di accreditarle sono stati ignorati anche se più avvisi di sicurezza, per iOS 14.7.1, iOS 14.8 e iOS 15.0, hanno da quando è stato pubblicato.
Denis Tokarev (che usa l' handle Twitter di Illusion Of Chaos ), lo sviluppatore di software che ha trovato i quattro zero-day, li ha segnalati ad Apple tra il 10 marzo e il 4 maggio. Tuttavia, la società ne ha silenziosamente riparato uno a luglio con il rilascio di 14.7 senza dare credito nell'avviso di sicurezza.
"Quando li ho affrontati, si sono scusati, mi hanno assicurato che era successo a causa di un problema di elaborazione e hanno promesso di elencarlo nella pagina dei contenuti di sicurezza del prossimo aggiornamento", ha detto lo sviluppatore oggi. "Ci sono state tre uscite da allora e ogni volta hanno infranto la loro promessa".
"A causa di un problema di elaborazione, il tuo credito sarà incluso negli avvisi di sicurezza in un prossimo aggiornamento. Ci scusiamo per l'inconveniente", gli ha detto Apple quando gli è stato chiesto perché l'elenco dei bug di sicurezza iOS corretti non includeva il suo zero-day.
Da allora, tutti i tentativi fatti per ottenere una spiegazione per l'incapacità di Apple di correggere il resto di queste vulnerabilità senza patch e per il loro rifiuto di accreditarle sono stati ignorati anche se più avvisi di sicurezza, per iOS 14.7.1, iOS 14.8 e iOS 15.0, hanno da quando è stato pubblicato.
Commenti
Posta un commento