Η Apple προτρέπει τους χρήστες macOS, iPhone και iPad αμέσως να εγκαταστήσουν αντίστοιχες ενημερώσεις αυτήν την εβδομάδα που περιλαμβάνουν διορθώσεις για δύο ημέρες μηδέν υπό ενεργή επίθεση. Οι ενημερώσεις κώδικα προορίζονται για ευπάθειες που επιτρέπουν στους εισβολείς να εκτελούν αυθαίρετο κώδικα και τελικά να καταλαμβάνουν συσκευές.
Διατίθενται ενημερώσεις κώδικα για συσκευές που εκτελούνται iOS 15.6.1 και MacOS Monterey 12.5.1. Οι ενημερώσεις κώδικα αντιμετωπίζουν δύο ελαττώματα, τα οποία βασικά επηρεάζουν οποιαδήποτε συσκευή της Apple που μπορεί να τρέξει είτε το iOS 15 είτε την έκδοση Monterey του επιτραπέζιου λειτουργικού της, σύμφωνα με ενημερώσεις ασφαλείας που κυκλοφόρησε την Τετάρτη η Apple.
Ένα από τα ελαττώματα είναι ένα σφάλμα πυρήνα (CVE-2022-32894), το οποίο υπάρχει τόσο στο iOS όσο και στο macOS. Σύμφωνα με την Apple, πρόκειται για ένα «πρόβλημα εγγραφής εκτός ορίων [που] αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων».
Η ευπάθεια επιτρέπει σε μια εφαρμογή να εκτελεί αυθαίρετο κώδικα με δικαιώματα πυρήνα, σύμφωνα με την Apple, η οποία, με συνηθισμένο αόριστο τρόπο, είπε ότι υπάρχει μια αναφορά ότι «μπορεί να έχει γίνει ενεργή εκμετάλλευση».
Το δεύτερο ελάττωμα αναγνωρίζεται ως σφάλμα WebKit (παρακολούθηση ως CVE-2022-32893), το οποίο είναι ένα πρόβλημα εγγραφής εκτός ορίων που η Apple αντιμετώπισε με βελτιωμένο έλεγχο ορίων. Το ελάττωμα επιτρέπει την επεξεργασία κακόβουλα δημιουργημένου περιεχομένου ιστού που μπορεί να οδηγήσει σε εκτέλεση κώδικα και επίσης έχει αναφερθεί ότι βρίσκεται υπό ενεργή εκμετάλλευση, σύμφωνα με την Apple. Το WebKit είναι η μηχανή προγράμματος περιήγησης που τροφοδοτεί το Safari και όλα τα άλλα προγράμματα περιήγησης τρίτων που λειτουργούν σε iOS.
Πήγασος-Σενάριο
Η ανακάλυψη και των δύο ελαττωμάτων, για τα οποία είναι γνωστά λίγα περισσότερα από την αποκάλυψη της Apple, πιστώθηκε σε έναν ανώνυμο ερευνητή.
Ένας εμπειρογνώμονας εξέφρασε την ανησυχία του ότι τα τελευταία ελαττώματα της Apple «θα μπορούσαν αποτελεσματικά να δώσουν στους εισβολείς πλήρη πρόσβαση στη συσκευή», ενδέχεται να δημιουργήσουν Πήγασος σενάριο παρόμοιο με αυτό στο οποίο οι APT εθνικών κρατών έβαλαν στόχους με spyware που κατασκευάστηκε από τον ισραηλινό όμιλο NSO, εκμεταλλευόμενος μια ευπάθεια του iPhone.
"Για τους περισσότερους: ενημερώστε το λογισμικό μέχρι το τέλος της ημέρας," tweeted Η Rachel Tobac, η Διευθύνουσα Σύμβουλος της SocialProof Security, σχετικά με το zero-days. «Εάν το μοντέλο απειλής είναι αυξημένο (δημοσιογράφος, ακτιβιστής, στόχος εθνικών κρατών κ.λπ.): ενημερώστε τώρα», προειδοποίησε ο Tobac.
Zero-Days Aound
Τα ελαττώματα αποκαλύφθηκαν μαζί με άλλες ειδήσεις από την Google αυτήν την εβδομάδα μπάλωσε Το πέμπτο zero-day μέχρι στιγμής φέτος για το πρόγραμμα περιήγησής του Chrome, ένα αυθαίρετο σφάλμα εκτέλεσης κώδικα υπό ενεργή επίθεση.
Τα νέα για ακόμη περισσότερες ευπάθειες από κορυφαίους προμηθευτές τεχνολογίας που κατακλύζονται από παράγοντες απειλών καταδεικνύουν ότι παρά τις καλύτερες προσπάθειες από κορυφαίες εταιρείες τεχνολογίας για την αντιμετώπιση πολυετών ζητημάτων ασφάλειας στο λογισμικό τους, παραμένει μια δύσκολη μάχη, σημείωσε ο Andrew Whaley, ανώτερος τεχνικός διευθυντής στο Promon, μια νορβηγική εταιρεία ασφάλειας εφαρμογών.
Τα ελαττώματα στο iOS είναι ιδιαίτερα ανησυχητικά, δεδομένης της πανταχού παρουσίας των iPhone και της απόλυτης εξάρτησης των χρηστών από κινητές συσκευές για την καθημερινή τους ζωή, είπε. Ωστόσο, το βάρος δεν βαρύνει μόνο τους προμηθευτές για την προστασία αυτών των συσκευών, αλλά και για τους χρήστες να γνωρίζουν περισσότερο τις υπάρχουσες απειλές, παρατήρησε ο Whaley.
«Ενώ όλοι βασιζόμαστε στις κινητές συσκευές μας, αυτές δεν είναι άτρωτες και ως χρήστες πρέπει να διατηρούμε την επιφυλακή μας όπως κάνουμε στα λειτουργικά συστήματα επιτραπέζιων υπολογιστών», είπε σε ένα email στο Threatpost.
Ταυτόχρονα, οι προγραμματιστές εφαρμογών για iPhone και άλλες κινητές συσκευές θα πρέπει επίσης να προσθέσουν ένα επιπλέον επίπεδο ελέγχων ασφαλείας στην τεχνολογία τους, ώστε να εξαρτώνται λιγότερο από την ασφάλεια του λειτουργικού συστήματος για προστασία, δεδομένων των ελαττωμάτων που εμφανίζονται συχνά, παρατήρησε ο Whaley.
«Η εμπειρία μας δείχνει ότι αυτό δεν συμβαίνει αρκετά, αφήνοντας δυνητικά ευάλωτους τις τράπεζες και άλλους πελάτες», είπε.
- apple iPhone
- Ευπάθειες της Apple
- blockchain
- Coingenius
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- αμυχές
- Kaspersky
- malware
- Mcafee
- Mobile Security
- νέα
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- Απειλή Δημοσίευση
- VPN
- Θέματα ευπάθειας
- ιστοσελίδα της ασφάλειας
- zephyrnet
