Apple går tilbage CVE-2024-27804, hævder, at den ikke kan udnyttes og tilbyder sikkerhedsforsker sølle 1.000 USD i dusør

Prøv Vores Instrument Til At Fjerne Problemer





Hvis du har fulgt med i løbet af de sidste par dage, især følge udgivelsen af ​​iOS & iPadOS 17.5 , så har du sandsynligvis hørt om den nye PoC for en kernesårbarhed i AppleAVD, der påvirker iOS & iPadOS 17.4.1 og ældre kaldet CVE-2024-27804, som Apple citerede for at have den potentielle indflydelse for en app til at udføre vilkårlig kode med kerne privilegier



 Apple afviser at betale for CVE-2024-27804.

På den anden side har hypen måske fået det bedste af de fleste af os - måske endda Apple. Meysam Firouzi ( @R00tkitSMM ), sikkerhedsforskeren, der opdagede denne kernesårbarhed, modtaget feedback fra Apple denne uge konkluderer, at fejlrapporten 'ikke stemmer overens med dusørkriterierne', og måske mere skuffende, den kan ikke udnyttes.

Beskeden, som Firouzi fik fra det Cupertino-baserede selskab, siger:



Vi sætter virkelig pris på din indsats og entusiasme for dette program. Desværre stemmer din rapport ikke overens med dusørkriterierne, da den ikke viser de kategorier, der er anført på vores hjemmeside. Vi opfordrer dig dog kraftigt til at fortsætte med at indsende dit arbejde i fremtiden.

Vi sætter pris på din hjælp til at hjælpe med at opretholde og forbedre sikkerheden af ​​vores produkter, og vi ser frem til at modtage dine fremtidige rapporter.

Ifølge Firouzi planlægger Apple at opdatere 'Om sikkerhedsindholdet i iOS 17.5 og iPadOS 17.5' hjemmeside for at afspejle denne bestemmelse. Mere specifikt vil de ændre lidt om at kunne udføre vilkårlig kode med kernerettigheder til 'en uventet systemafslutning.'



Firouzi offentliggjort en PoC for CVE-2024-27804 til deres GitHub-side i går, og den er allerede begyndt at blive set på af prominente hackere.

Da CVE-2024-27804 ikke opfyldte kriterierne, vil Firouzi heller ikke modtage den fulde dusørbelønning, men Apple har tilsyneladende tilbudt en 1.000 dollars i god tro i mellemtiden.

Hvad betyder det for os alle? Nå for det meste, Dopamin jailbreak hovedudvikler Lars Fröder ( @opa334dev ) kan have været spot on efter at have sagt, at der var en 90% chance for, at denne PoC fører til absolut ingenting.



Med det i tankerne virker det usandsynligt, at dette vil blive en nyttig puslespilsbrik i udviklingen af ​​enhver fremtid jailbreaks , så fællesskabet bliver simpelthen nødt til at vente på både en levedygtig kerneudnyttelse, en Secure Page Table Monitor (SPTM) bypass, samt andre teknikker, der kræves for at få magien til at virke. Undskyld folkens!

Under alle omstændigheder vil det være interessant at se, hvad der kommer ned i pipelinen næste gang fra Firouzi, eller måske fra en anden ivrig sikkerhedsforsker. Det vil tiden vise…



Top