Đầu năm 2019. nhóm dự án này đã công khai một số lỗi nghiêm trọng xảy ra ở trên macOS sau khi Apple không khắc phục vấn đề trong 90 ngày như đã quy định. Lần tuyên bố mới đây cho biết Apple đã vá được 4 lỗ hổng vào tuần trước.
Trong một loạt tweet, Silvanovich đã mô tả ngắn gọn về từng lỗi, đồng thời liên kết với các chi tiết kỹ thuật và mã bằng chứng để chứng minh cách chúng hoạt động. Riêng thông tin liên quan đến một lỗ hổng có tên mã CVE-2019-8641 đang được giữ kín vì nó chưa được Apple giải quyết, và thời hạn sửa lỗi 90 ngày của Project Zero vẫn chưa đạt đến.
Không đi sâu vào quá nhiều chi tiết kỹ thuật, hai lỗ hổng CVE-2019-8647 và CVE-2019-8662 đều có thể được thực thi từ xa thông qua iMessage khiến thiết bị nhận bị sập mà không có bất kỳ tương tác nào của người dùng. Đối với lỗ hổng CVE-2019-8660, nó cho phép kẻ tấn công làm hỏng bộ nhớ từ xa. Cuối cùng và được xem là nguy hiểm nhất, lỗ hổng CVE-2019-8646 có thể cho phép truy cập từ xa vào các tập tin cục bộ.
Về cơ bản, tất cả 5 lỗ hổng có thể đã bị khai thác mà không cần bất kỳ tương tác cuối của người dùng. Nội dung tweet từ Silvanovich cũng lưu ý rằng cô sẽ thảo luận thêm về những lỗi này trong sự kiện Black Hat (Mỹ) vào tháng tới.
Apple đã đưa ra các bản sửa lỗi cho 4 trong số 5 lỗ hổng nói trên với bản cập nhật iOS 12.4 vào tuần trước, và bản vá lỗ hổng cuối cùng có thể phát hành trong những ngày tới.