Обложка канала

Mobile AppSec World

Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое.

Mobile AppSec World

4 года назад
Открыть в
CVE-2021-1782 в XNU Vouchers subsystem По следам заметок и размышлений от Google Project Zero на тему уязвимости в iOS с парсингом ASN.1 формата, подоспела ещё одна отличная статья про уязвимость CVE-2021-1782. В ней много полезной информации о том, как устроена система Vouchers в ядре. Что это такое, зачем нужно, как работает, в чем был смысл уязвимости и представлен PoC, как её можно проэксплуатировать. На самом деле статья хорошая, но очень сложная для восприятия, если ты не погружен в специфику iOS и его внутренностей. Но если пропустить блоки с кодом, и прочитать теорию и заключение более вдумчиво, можно узнать много нового :) #iOS #kernel #cve
Mobile AppSec World

CVE-2021-30737 (Memory corruption in ASN.1 decoder) - Writeup по writeup’у Довольно интересную статью нашел, можно считать её описанием на описание уязвимости или writeup на writeup 😄 Оригинальный баг был найден в 2021 году и по нему написан достаточно увлекательное описание, как он был найден и в чем заключалась проблема. Новый пост это скорее заметки, дополнения и размышления, как мог произойти баг в парсинге и обработке ASN.1 в iOS и где ещё можно поискать подобные уязвимости. На самом деле читать такие статьи очень полезно, даже безотносительно самой уязвимости в iOS. Например, чтобы побольше узнать об ASN.1 и способах работы, учитывая что я с ним почти не сталкивался. Приятного чтения и хорошей недели! #iOS #vulnerability #writeup

Telegram