Окремі виправлення для macOS та iOS виправляють відповідні недоліки в ядрі та WebKit, які можуть дозволити зловмисникам заволодіти пристроями та зазнати атаки.
Apple закликає користувачів macOS, iPhone і iPad негайно встановити відповідні оновлення цього тижня, які містять виправлення для двох нульових днів під час активної атаки. Патчі призначені для уразливостей, які дозволяють зловмисникам виконувати довільний код і зрештою захоплювати пристрої.
Патчі доступні для запущених пристроїв Система IOS 15.6.1 та macOS Монтерей 12.5.1. Відповідно до оновлень безпеки, опублікованих Apple у середу, патчі усувають два недоліки, які в основному впливають на будь-який пристрій Apple, який може працювати з iOS 15 або версією настільної ОС Monterey.
Однією з вад є помилка ядра (CVE-2022-32894), який присутній як в iOS, так і в macOS. За словами Apple, це «проблема запису поза межами [яка] була вирішена за допомогою вдосконаленої перевірки меж».
Уразливість дозволяє програмі виконувати довільний код із привілеями ядра, згідно з Apple, яка, як правило, розпливчасто заявила, що є повідомлення про те, що вона «можливо активно використовувалася».
Друга вада ідентифікована як помилка WebKit (відстежується як CVE-2022-32893), яка є проблемою запису поза межами, яку Apple вирішила за допомогою вдосконаленої перевірки меж. Ця помилка дозволяє обробляти зловмисно створений веб-контент, який може призвести до виконання коду, а також, як повідомляється, активно розповсюджується, згідно з Apple. WebKit — це движок браузера, який підтримує Safari та всі інші сторонні браузери, які працюють на iOS.
Сценарій, подібний до Пегаса
Виявлення обох недоліків, про які відомо небагато, крім розкриття Apple, було приписано анонімному досліднику.
Один експерт висловив стурбованість тим, що останні недоліки Apple «можуть фактично надати зловмисникам повний доступ до пристрою», вони можуть створити Пегасоподібні сценарій, схожий на той, у якому APT національної держави загороджували цілі зі шпигунським програмним забезпеченням зроблено ізраїльською NSO Group, використовуючи вразливість iPhone.
«Для більшості людей: оновіть програмне забезпечення до кінця дня» твір Рейчел Тобак, генеральний директор SocialProof Security, щодо нульових днів. «Якщо модель загрози підвищена (журналіст, активіст, мішень для національних держав тощо): оновіть зараз», — попередив Тобак.
Zero-Days Abound
Недоліки були оприлюднені разом з іншими новинами від Google цього тижня латав це вже п’ятий нульовий день цього року для його браузера Chrome, помилка виконання довільного коду під активною атакою.
Новини про ще більше вразливостей від провідних постачальників технологій, яких обстрілюють зловмисники, демонструють, що, незважаючи на всі зусилля провідних технологічних компаній щодо вирішення постійних проблем безпеки у своєму програмному забезпеченні, боротьба залишається важкою, зазначив Ендрю Уейлі, старший технічний директор компанії Promon, норвезька компанія безпеки додатків.
За його словами, недоліки в iOS викликають особливе занепокоєння, враховуючи всюдисущість iPhone і повну залежність користувачів від мобільних пристроїв у повсякденному житті. Проте захист цих пристроїв лежить не тільки на постачальниках, але й на користувачах, щоб вони були більш обізнаними про існуючі загрози, зазначив Уейлі.
«Хоча всі ми покладаємося на наші мобільні пристрої, вони не є невразливими, і як користувачі ми повинні бути обережними, як і в настільних операційних системах», — сказав він в електронному листі до Threatpost.
У той же час розробникам додатків для iPhone та інших мобільних пристроїв також слід додати додатковий рівень контролю безпеки у свою технологію, щоб вони менше залежали від безпеки ОС для захисту, враховуючи недоліки, які часто виникають, зауважив Уейлі.
«Наш досвід показує, що цього відбувається недостатньо, потенційно залишаючи банківські та інших клієнтів уразливими», — сказав він.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://threatpost.com/iphone-users-urged-to-update-to-patch-2-zero-days-under-attack/180448/
- : має
- :є
- : ні
- $UP
- 12
- 15%
- a
- МЕНЮ
- доступ
- За
- активний
- активно
- активіст
- актори
- додавати
- адреса
- адресований
- ВСІ
- дозволяти
- дозволяє
- пліч-о-пліч
- Також
- an
- та
- Ендрю
- анонімний
- будь-який
- додаток
- Apple
- додаток
- додатка
- ЕСТЬ
- AS
- At
- атака
- доступний
- знати
- Banking
- В основному
- Бій
- BE
- було
- буття
- КРАЩЕ
- За
- обидва
- межі
- браузер
- браузери
- Помилка
- але
- by
- CAN
- Генеральний директор
- CGI
- контроль
- Chrome
- браузер Chrome
- код
- Компанії
- компанія
- зміст
- управління
- створений
- створювати
- урожай
- Клієнти
- CVE-2022-32893
- щодня
- день
- демонструє
- робочий стіл
- Незважаючи на
- розробників
- пристрій
- прилади
- Директор
- розкриття
- відкриття
- do
- фактично
- зусилля
- або
- піднесений
- кінець
- двигун
- досить
- особливо
- і т.д.
- виконувати
- виконання
- існуючий
- досвід
- експерт
- Експлуатувати
- експлуатований
- виражений
- додатково
- далеко
- мода
- п'ятий
- недолік
- недоліки
- для
- часто
- від
- Повний
- Давати
- даний
- Group
- Охорона
- Відбувається
- Мати
- he
- прихований
- Однак
- HTTP
- HTTPS
- ідентифікований
- негайно
- Impact
- поліпшений
- in
- includes
- встановлювати
- iOS
- IPad
- iPhone
- Ізраїльський
- питання
- питання
- IT
- ЙОГО
- журналіст
- просто
- відомий
- останній
- шар
- вести
- догляд
- менше
- як
- трохи
- Місце проживання
- MacOS
- made
- підтримувати
- може бути
- Mobile
- мобільні пристрої
- модель
- більше
- найбільш
- народ
- Необхідність
- новини
- норвежець
- зазначив,
- зараз
- Група NSO
- спостерігається
- of
- on
- ONE
- тільки
- онус
- операційний
- операційні системи
- or
- OS
- Інше
- наші
- над
- огляд
- пластир
- Патчі
- plato
- Інформація про дані Платона
- PlatoData
- Пости
- потенційно
- повноваження
- представити
- привілеї
- обробка
- захист
- захист
- про
- випущений
- опора
- покладатися
- залишається
- звітом
- Повідомляється
- дослідник
- ті
- прогін
- біг
- Safari
- Зазначений
- то ж
- сценарій
- другий
- безпеку
- оновлення безпеки
- старший
- Повинен
- Шоу
- аналогічний
- So
- так далеко
- Софтвер
- Штати
- Systems
- Приймати
- цільове
- цілі
- технології
- технічних компаній
- технічний
- Технологія
- Що
- Команда
- їх
- Там.
- Ці
- вони
- третя сторона
- це
- На цьому тижні
- У цьому році
- загроза
- актори загроз
- загрози
- час
- до
- топ
- два
- Зрештою
- при
- представила
- Оновити
- Updates
- переконуючи
- користувачі
- звичайний
- постачальники
- версія
- Уразливості
- вразливість
- Вразливий
- було
- we
- Web
- веб-комплект
- середа
- week
- були
- який
- з
- Work
- турбуватися
- турбуватися
- запис
- рік
- ще
- зефірнет