תיקונים נפרדים ל-macOS ו-iOS תיקון פגמים בהתאמה בקרנל וב-WebKit שיכולים לאפשר לשחקני איומים להשתלט על מכשירים והם תחת התקפה.
אפל קורא למשתמשי macOS, iPhone ו-iPad להתקין השבוע עדכונים בהתאמה הכוללים תיקונים ליומיים אפס תחת התקפה פעילה. התיקונים מיועדים לנקודות תורפה המאפשרות לתוקפים לבצע קוד שרירותי ובסופו של דבר להשתלט על מכשירים.
טלאים זמינים עבור מכשירים שפועלים פועלים iOS 15.6.1 ו macOS Monterey 12.5.1. התיקונים מטפלים בשני פגמים, המשפיעים בעצם על כל מכשיר אפל שיכול להריץ או iOS 15 או גרסת מונטריי של מערכת ההפעלה השולחנית שלו, על פי עדכוני אבטחה שפורסמו על ידי Apple Wednesday.
אחד הפגמים הוא באג ליבה (CVE-2022-32894), שקיים גם ב-iOS וגם ב-macOS. לפי אפל מדובר ב"בעיית כתיבה מחוץ לתחום [שטופלה] באמצעות בדיקת גבולות משופרת".
הפגיעות מאפשרת לאפליקציה להפעיל קוד שרירותי עם הרשאות ליבה, לפי אפל, שבאופן מעורפל רגיל, אמרה שיש דיווח ש"ייתכן שהוא נוצל באופן פעיל".
הפגם השני מזוהה כבאג WebKit (במעקב כ-CVE-2022-32893), שהוא בעיית כתיבה מחוץ לתחום שאפל טיפלה בבדיקת גבולות משופרת. הפגם מאפשר לעבד תוכן אינטרנט בעל מבנה זדוני שעלול להוביל לביצוע קוד, וכן דווח כי הוא נמצא תחת ניצול פעיל, על פי אפל. WebKit הוא מנוע הדפדפן שמניע את Safari וכל שאר הדפדפנים של צד שלישי שעובדים על iOS.
תרחיש דמוי פגסוס
גילוי שני הפגמים, שעליהם ידוע מעט מעבר לחשיפת אפל, נזקף לזכותו של חוקר אנונימי.
מומחה אחד הביע דאגה שהפגמים האחרונים של אפל "יכולים לתת לתוקפים גישה מלאה למכשיר", הם עלולים ליצור דמוי פגסוס תרחיש דומה לתרחיש שבו APTs של מדינות לאום ספגו מטרות עם תוכנות ריגול נעשה על ידי קבוצת NSO הישראלית על ידי ניצול פגיעות של אייפון.
"לרוב האנשים: עדכן תוכנה עד סוף היום," צייץ רחל טובק, מנכ"לית SocialProof Security, לגבי ימי האפס. "אם מודל האיום גבוה (עיתונאי, פעיל, ממוקד על ידי מדינות לאום וכו'): עדכן עכשיו", הזהיר טובאק.
אפס ימים בשפע
הפגמים נחשפו לצד חדשות אחרות מגוגל השבוע על כך היה מתקן יום האפס החמישי שלה עד כה השנה עבור דפדפן Chrome שלה, באג שרירותי של ביצוע קוד תחת התקפה פעילה.
החדשות על נקודות תורפה נוספות של ספקי טכנולוגיה מובילים שנפגעו על ידי גורמי איומים מוכיחה שלמרות המאמצים הטובים ביותר של חברות טכנולוגיה מהשורה הראשונה לטפל בבעיות אבטחה נצחיות בתוכנה שלהן, זה נותר קרב עלייה, ציין אנדרו וויילי, מנהל טכני בכיר ב- פרומון, חברת אבטחת אפליקציות נורווגית.
הפגמים ב-iOS מדאיגים במיוחד, בהתחשב בנוכחותם של מכשירי האייפון וההסתמכות המוחלטת של המשתמשים על מכשירים ניידים בחיי היומיום שלהם, אמר. עם זאת, האחריות היא לא רק על הספקים להגן על המכשירים הללו אלא גם על המשתמשים להיות מודעים יותר לאיומים הקיימים, ציין ווילי.
"למרות שכולנו מסתמכים על המכשירים הניידים שלנו, הם אינם בלתי פגיעים, וכמשתמשים אנחנו צריכים לשמור על המשמר שלנו בדיוק כמו שאנחנו עושים על מערכות הפעלה שולחניות", אמר באימייל ל-Threatpost.
במקביל, מפתחי אפליקציות לאייפון ומכשירים ניידים אחרים צריכים גם להוסיף שכבה נוספת של בקרות אבטחה בטכנולוגיה שלהם כך שהם פחות מסתמכים על אבטחת מערכת ההפעלה להגנה, לאור הפגמים שצצים לעתים קרובות, ציין ווילי.
"הניסיון שלנו מראה שזה לא קורה מספיק, מה שעשוי להשאיר את הבנקים ולקוחות אחרים פגיעים", אמר.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://threatpost.com/iphone-users-urged-to-update-to-patch-2-zero-days-under-attack/180448/
- :יש ל
- :הוא
- :לֹא
- $ למעלה
- 12
- 15%
- a
- אודות
- גישה
- פי
- פעיל
- באופן פעיל
- פעיל
- שחקנים
- להוסיף
- כתובת
- ממוען
- תעשיות
- להתיר
- מאפשר
- בַּצַד
- גם
- an
- ו
- אנדרו
- אנונימי
- כל
- האפליקציה
- תפוח עץ
- בקשה
- אפליקציות
- ARE
- AS
- At
- לתקוף
- זמין
- מודע
- בנקאות
- בעיקרון
- קרב
- BE
- היה
- להיות
- הטוב ביותר
- מעבר
- שניהם
- גבולות
- דפדפן
- דפדפנים
- חרק
- אבל
- by
- CAN
- מנכ"ל
- CGI
- בדיקה
- Chrome
- דפדפן כרום
- קוד
- חברות
- חברה
- תוכן
- בקרות
- מעוצב
- לִיצוֹר
- יבול
- לקוחות
- CVE-2022-32893
- יומי
- יְוֹם
- מדגים
- שולחן העבודה
- למרות
- מפתחים
- מכשיר
- התקנים
- מְנַהֵל
- חשיפה
- תגלית
- do
- יעילות
- מַאֲמָצִים
- או
- מורם
- אמייל
- סוף
- מנוע
- מספיק
- במיוחד
- וכו '
- לבצע
- הוצאת להורג
- קיימים
- ניסיון
- מומחה
- לנצל
- ומנוצל
- ביטא
- נוסף
- רחוק
- אופנה
- ה
- פגם
- פגמים
- בעד
- בתדירות גבוהה
- החל מ-
- מלא
- לתת
- נתן
- קְבוּצָה
- שומר
- מתרחש
- יש
- he
- מוּסתָר
- אולם
- http
- HTTPS
- מזוהה
- מיד
- פְּגִיעָה
- משופר
- in
- כולל
- להתקין
- iOS
- iPad
- iPhone
- יִשׂרְאֵלִי
- סוגיה
- בעיות
- IT
- שֶׁלָה
- עיתונאי
- רק
- ידוע
- האחרון
- שכבה
- עוֹפֶרֶת
- עזיבה
- פחות
- כמו
- קְצָת
- חי
- MacOS
- עשוי
- לתחזק
- יכול
- סלולרי
- מכשירים ניידים
- מודל
- יותר
- רוב
- אוּמָה
- צורך
- חדשות
- נורבגי
- ציין
- עַכשָׁיו
- קבוצת NSO
- שנצפה
- of
- on
- ONE
- רק
- חובה
- פועל
- מערכות הפעלה
- or
- OS
- אחר
- שלנו
- יותר
- סקירה
- תיקון
- טלאים
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- הודעות
- פוטנציאל
- כוחות
- להציג
- הרשאות
- תהליך
- להגן
- .
- בדבר
- שוחרר
- הסתמכות
- לסמוך
- שְׂרִידִים
- לדווח
- דווח
- חוקר
- אלה
- הפעלה
- ריצה
- ספארי
- אמר
- אותו
- תרחיש
- שְׁנִיָה
- אבטחה
- עדכוני אבטחה
- לחצני מצוקה לפנסיונרים
- צריך
- הופעות
- דומה
- So
- עד כה
- תוכנה
- הברית
- מערכות
- לקחת
- ממוקד
- מטרות
- טק
- טק
- טכני
- טכנולוגיה
- זֶה
- השמיים
- שֶׁלָהֶם
- שם.
- אלה
- הֵם
- צד שלישי
- זֶה
- השבוע
- השנה
- איום
- איום שחקנים
- איומים
- זמן
- ל
- חלק עליון
- שתיים
- בסופו של דבר
- תחת
- חשף
- עדכון
- עדכונים
- דוחק
- משתמשים
- כרגיל
- ספקים
- גרסה
- פגיעויות
- פגיעות
- פגיע
- היה
- we
- אינטרנט
- ערכת רשת
- יום רביעי
- שבוע
- היו
- אשר
- עם
- תיק עבודות
- לדאוג
- לדאוג
- לכתוב
- שנה
- עוד
- זפירנט