SockPuppet: egy iOS 12.4 kernel exploit kivesézése

Titkosítás, biztonság, privát szféra

Ned Williamson a P0 csapat blogján egy olyan, iOS és macOS kernelt érintő súlyos sebezhetőséget elemez ki, ami öt évig volt jelen. A sebezhetőséget 2019 márciusában jelezte az Apple-nek, ami az iOS 12.3-ban ki is javította. Utána olyasmi következett, ami az Apple-nél nem ritka: a sebezhetőség "visszatért" az iOS 12.4-ben, amit aztán újra kijavítottak az iOS 12.4.1-ben, augusztusban:

In this post, we’ll look at CVE-2019-8605, a vulnerability in the iOS kernel and macOS for five years and how to exploit it to achieve arbitrary kernel read/write. This issue affected XNU as early as 2013, and was reported by me to Apple on March 2019. It was then patched in iOS 12.3 in May 2019 and I released the complete details including the exploit for iOS for analysis, named “SockPuppet,” in July 2019. It was then discovered that this issue regressed in iOS 12.4 and was later patched in iOS 12.4.1 in late August 2019.

A teljes leírás itt olvasható.

( YleGreg | 2019. 12. 13., p – 10:00 )

Hogy mi van? Visszatér egy ismert hiba?

Létezne, hogy regresszió tesztelés nélkül nyomják ki élesbe az éppen aktuális fejlesztést?

Ez most egy hobby projekt, vagy egy komoly kereskedelmi szoftver? Agyameldobom.

Bakker, nem kenyerem az összeesküvés elméletek gyártása, de ez ordít azért a beszólásért, hogy "Biztosan pampogott egy HBR megrendelő, hogy nincs benne az általa igényelt backdoor feature...".

Felmerül a kérdés, hogy akarom én egyáltalán tudni, hogy mi áll a háttérben, vagy csak fogadjam el, hogy ez a hét sem telik el security blama nélkül? Kezd uncsi lenni, hogy gyakorlatilag háttérzajjá váltak azok a hírek amelyeknek nagy leleplezéseknek, fontos híreknek kellett volna lenniük.

Most őszintén. Kit érdekel, hogy melyik alapvető fontosságú szoftver vagy hardver hol és mennyire lukas? Mind sz4r, csak mind máshogyan, vagy tévedek? (Kész van már a Windows 10?)

Kicsit olyan, mintha az Index mindig megírná, hogy késik egy vonat valamelyik pályaudvaron. Tudjuk. A MÁV ilyen. Nem bírja a havat, az esőt, meg a napsütést, ritkábban a szelet vagy a sötétet. A szoftveripar meg nem bírja, hát nem is tudom, mondjuk az entrópiát. Meg a határidőket, meg a cert lejáratokat, meg a "Jóvanazúgy, toldki, majd patchelünk ha ráérünk!" hozzáállást.

Szomorú belátni, de mi informatikusok szánalmas egy bagázs vagyunk. Bár tudnám cáfolni ezt a mondatot!

És hogy tovább rontsam a helyzetet: ma már MINDEN informatika. Régen jót röhögtünk a viccen ami arról szólt, hogy hogy működne a kocsi ha windows lenne. Visszaolvastam, 10 pontból 3 simán valósággá vált...

És miután fejlesztőként egyre kétesebb minőségű fejlesztői környezetben, egy rövidebb idő alatt várnak el dolgokat, ezért ebből következik, hogy szarabb is lesz amit csinálok. Sajnos.

Bob bácsi is így látja, ma már szinte minden szoftver és a szoftverfejlesztők felelőssége, hogy hogyan dolgoznak.

Pl egy hídtervező mérnök nem fogja magát hagyni rábeszélni, hogy egy hét múlva legyen kész, és ne tesztelje le a tervet.

Civilization depends upon us

in ways it doesn't yet understand.

In ways we don't yet understand.

 

What must change:

We must grow up

Define our profession

Choose our practices and disciplines

Reunify Agile / Craftmanship

... And Lead!

 

"Uncle" Bob Martin - "The Future of Programming"

" hídtervező mérnök nem fogja magát hagyni rábeszélni, hogy egy hét múlva legyen kész "

Egy "hídtervező mérnök" (a becsületes neve építőmérnök) büntetőjogi felelősséggel tartozik minden olyan tervért, amin rajta a neve és az aláírása. Ha valami elb@szás van a tervben, és emiatt mondjuk emberek halnak meg, lecsukják, mint a huzat. Ezért nem hagyja magát rábeszélni dolgokra. :)