A macOS és az iOS külön javításai javítják a kernel és a WebKit megfelelő hibáit, amelyek lehetővé tehetik a fenyegetés szereplői számára, hogy átvegyék az eszközöket, és támadás alatt álljanak.
Az Apple arra kéri a macOS, iPhone és iPad felhasználókat, hogy ezen a héten azonnal telepítsék a megfelelő frissítéseket, amelyek két nulla napos javításokat tartalmaznak az aktív támadás alatt. A javítások olyan sebezhetőségekre szolgálnak, amelyek lehetővé teszik a támadók számára, hogy tetszőleges kódot hajtsanak végre, és végül átvegyék az eszközöket.
A futó effektált eszközökhöz javítások állnak rendelkezésre iOS 15.6.1 és a macOS Monterey 12.5.1. Az Apple szerdán közzétett biztonsági frissítései szerint a javítások két hibát orvosolnak, amelyek alapvetően minden olyan Apple-eszközt érintenek, amely akár iOS 15-öt, akár az asztali operációs rendszer Monterey-i verzióját futtathatja.
Az egyik hiba egy kernel hiba (CVE-2022 32894-), amely iOS és macOS rendszerben is megtalálható. Az Apple szerint ez egy „határokon kívüli írási probléma, [amelyet] javított határellenőrzéssel orvosoltak”.
A sérülékenység lehetővé teszi, hogy egy alkalmazás tetszőleges kódot hajtson végre kerneljogosultságokkal, az Apple szerint, amely a szokásos homályos módon azt mondta, hogy van egy jelentés, amely szerint "lehet, hogy aktívan kihasználták".
A második hibát a WebKit hibaként azonosították (CVE-2022-32893 néven), amely egy határon túli írási probléma, amelyet az Apple javított határellenőrzéssel orvosolt. A hiba lehetővé teszi a rosszindulatú webes tartalmak feldolgozását, amelyek kódvégrehajtáshoz vezethetnek, és az Apple szerint aktív kihasználás alatt is áll. A WebKit az a böngészőmotor, amely a Safarit és az iOS rendszeren működő összes többi, harmadik féltől származó böngészőt működteti.
Pegazus-szerű forgatókönyv
Mindkét hiba felfedezését, amelyekről az Apple nyilvánosságra hozatalain túlmenően alig tudni, egy névtelen kutató számlájára írták.
Egy szakértő aggodalmát fejezte ki amiatt, hogy az Apple legújabb hibái „hatékonyan teljes hozzáférést biztosíthatnak a támadóknak az eszközhöz”, Pegazus-szerű hasonló forgatókönyv ahhoz, amelyben a nemzetállami APT-k célpontokat csaptak be kémprogramokkal az izraeli NSO Group készítette az iPhone sebezhetőségének kihasználásával.
„A legtöbb ember számára: frissítse a szoftvert a nap végéig” Twitteren Rachel Tobac, a SocialProof Security vezérigazgatója a nulladik napokkal kapcsolatban. „Ha a fenyegetettség modellje magasabb (újságíró, aktivista, nemzetállamok célpontja stb.): frissítse most” – figyelmeztetett Tobac.
Zero-Days Abound
A hibákat a Google más hírei mellett mutatták be ezen a héten, hogy az foltozás volt az idén eddig az ötödik nulladik nap a Chrome böngészőben, amely egy tetszőleges kódvégrehajtási hiba aktív támadás alatt.
A hír, miszerint a legkiválóbb technológiai gyártók újabb sebezhetőségeit fenyegetik a fenyegetés szereplői, azt mutatják, hogy annak ellenére, hogy a csúcstechnológiai cégek mindent megtesznek a szoftvereik állandó biztonsági problémáinak megoldására, ez továbbra is felfelé ívelő csata marad – jegyezte meg Andrew Whaley, a vállalat vezető műszaki igazgatója. Promon, egy norvég alkalmazásbiztonsági cég.
Az iOS hibái különösen aggasztóak, tekintettel arra, hogy az iPhone-ok mindenütt elterjedtek, és a felhasználók mindennapi életükben teljes mértékben a mobileszközökre támaszkodnak – mondta. Whaley szerint azonban nem csak a gyártókra hárul a felelősség, hogy megvédjék ezeket az eszközöket, hanem a felhasználókra is, hogy jobban tudatában legyenek a meglévő fenyegetéseknek.
„Bár mindannyian a mobileszközeinkre támaszkodunk, azok nem sérthetetlenek, és felhasználóként meg kell őriznünk magunkat, akárcsak az asztali operációs rendszereknél” – mondta a Threatpostnak írt e-mailben.
Ugyanakkor az iPhone-okhoz és más mobileszközökhöz készült alkalmazások fejlesztőinek egy további biztonsági ellenőrzési réteget is be kell építeniük technológiájukba, hogy kevésbé támaszkodjanak az operációs rendszer biztonságára a védelem érdekében, tekintettel a gyakran előforduló hibákra – jegyezte meg Whaley.
"Tapasztalataink azt mutatják, hogy ez nem történik meg eléggé, ami potenciálisan kiszolgáltatottá teheti a bankokat és más ügyfeleket" - mondta.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://threatpost.com/iphone-users-urged-to-update-to-patch-2-zero-days-under-attack/180448/
- :van
- :is
- :nem
- $ UP
- 12
- 15%
- a
- Rólunk
- hozzáférés
- Szerint
- aktív
- aktívan
- Aktivista
- szereplők
- hozzá
- cím
- címzett
- Minden termék
- lehetővé
- lehetővé teszi, hogy
- mellett
- Is
- an
- és a
- Andrew
- Névtelenül
- bármilyen
- app
- Apple
- Alkalmazás
- alkalmazások
- VANNAK
- AS
- At
- támadás
- elérhető
- tudatában van
- Banking
- Alapvetően
- Csata
- BE
- óta
- hogy
- BEST
- Túl
- mindkét
- határokat
- böngésző
- böngészők
- Bogár
- de
- by
- TUD
- vezérigazgató
- CGI
- ellenőrzése
- króm
- króm böngésző
- kód
- Companies
- vállalat
- tartalom
- ellenőrzések
- kidolgozott
- teremt
- termés
- Ügyfelek
- CVE-2022 32893-
- napi
- nap
- mutatja
- asztali
- Ellenére
- fejlesztők
- eszköz
- Eszközök
- Igazgató
- közzététel
- felfedezés
- do
- hatékonyan
- erőfeszítések
- bármelyik
- emelkedett
- végén
- Motor
- elég
- különösen
- stb.
- kivégez
- végrehajtás
- létező
- tapasztalat
- szakértő
- Exploit
- Hasznosított
- kifejezve
- külön-
- messze
- Divat
- ötödik
- hibája
- hibái
- A
- gyakran
- ból ből
- Tele
- Ad
- adott
- Csoport
- Őr
- Esemény
- Legyen
- he
- Rejtett
- azonban
- http
- HTTPS
- azonosított
- azonnal
- Hatás
- javított
- in
- magában foglalja a
- telepíteni
- iOS
- iPad
- iPhone
- izraeli
- kérdés
- kérdések
- IT
- ITS
- újságíró
- éppen
- ismert
- legutolsó
- réteg
- vezet
- kilépő
- kevesebb
- mint
- kis
- életek
- MacOS
- készült
- fenntartása
- esetleg
- Mobil
- mobil eszközök
- modell
- több
- a legtöbb
- nemzet
- Szükség
- hír
- norvég
- neves
- Most
- NSO Csoport
- megfigyelt
- of
- on
- ONE
- csak
- teher
- üzemeltetési
- operációs rendszer
- or
- OS
- Más
- mi
- felett
- áttekintés
- Tapasz
- Patches
- Plató
- Platón adatintelligencia
- PlatoData
- Hozzászólások
- potenciálisan
- hatáskörök
- be
- kiváltságok
- feldolgozás
- védelme
- védelem
- tekintettel
- felszabaduló
- bizalom
- támaszkodnak
- maradványok
- jelentést
- Számolt
- kutató
- azok
- futás
- futás
- Safari
- Mondott
- azonos
- forgatókönyv
- Második
- biztonság
- biztonsági frissítések
- idősebb
- kellene
- Műsorok
- hasonló
- So
- eddig
- szoftver
- Államok
- Systems
- Vesz
- célzott
- célok
- tech
- tech cégek
- Műszaki
- Technológia
- hogy
- A
- azok
- Ott.
- Ezek
- ők
- harmadik fél
- ezt
- ezen a héten
- idén
- fenyegetés
- fenyegetés szereplői
- fenyegetések
- idő
- nak nek
- felső
- kettő
- Végül
- alatt
- bemutatta
- Frissítések
- Frissítés
- sürgetve
- Felhasználók
- szokásos
- gyártók
- változat
- sérülékenységek
- sebezhetőség
- Sebezhető
- volt
- we
- háló
- webkészlet
- Szerda
- hét
- voltak
- ami
- val vel
- Munka
- aggódik
- aggasztó
- ír
- év
- még
- zephyrnet