CVE-2019-8660 苹果IMessage漏洞利用

Google Project Zero研究人员在iOS操作系统中发现了多个漏洞,其中有 四个漏洞(CVE-2019-8660、CVE-2019-8662、CVE-2019-8647、CVE-2019-8641) 可造成无交互远程任意代码执行,一个漏洞可造成远程任意文件读取(CVE-201 9-8646)

CVE-2019-8660此漏洞是存在于iOS Core Data框架以及Siri组件中的内存损坏漏洞,可 导致远程代码执行。此漏洞可在无需交互的情况下通过 iMessage 远程触 发,漏洞若被成功利用,可造成应用异常崩溃,或者任意代码执行

 

漏洞利用方法

To reproduce this issue in iMessage with knownkeydict:

1) install frida (pip3 install frida)
2) open sendMessage.py, and replace the sample receiver with the phone number or email of the target device
3) in injectMessage.js replace the marker "PATH" with the path of the obj file
4) in the local directory, run:

python3 sendMessage.py

 

你可能感兴趣的:(CVE-2019-8660 苹果IMessage漏洞利用)