iPhone'i kasutajaid kutsuti üles uuendama 2 nullpäeva paigale

Apple kutsub MacOS-i, iPhone'i ja iPadi kasutajaid üles installima sel nädalal viivitamatult vastavad värskendused, mis sisaldavad parandusi kahe aktiivse rünnaku all oleva nullpäeva jaoks. Plaastrid on mõeldud haavatavuste jaoks, mis võimaldavad ründajatel käivitada suvalist koodi ja lõpuks seadmed üle võtta.

Töötavate seadmete jaoks on saadaval plaastrid iOS 15.6.1 ja macOS Monterey 12.5.1. Apple'i kolmapäeval avaldatud turvavärskenduste kohaselt kõrvaldavad paigad kahte viga, mis mõjutavad põhimõtteliselt kõiki Apple'i seadmeid, mis võivad käitada kas iOS 15 või selle töölaua OS-i Monterey versiooni.

Üks vigadest on kerneli viga (CVE-2022-32894), mis on olemas nii iOS-is kui ka macOS-is. Apple'i sõnul on tegemist "piirangutevälise kirjutamisprobleemiga, [mille] lahendati piiride täiustatud kontrollimisega".

Apple'i sõnul võimaldab see haavatavus rakendusel käivitada suvalist koodi kerneli privileegidega, mis tavapärasel ebamäärasel viisil ütles, et on olemas aruanne, et seda "võidi aktiivselt ära kasutada".

Teine viga on tuvastatud kui WebKiti viga (jälgitav kui CVE-2022-32893), mis on piiridest väljas kirjutamisprobleem, mille Apple parandas piiride täiustatud kontrollimisega. Viga võimaldab töödelda pahatahtlikult loodud veebisisu, mis võib viia koodi täitmiseni, ning Apple'i sõnul on see ka aktiivse ärakasutamise all. WebKit on brauseri mootor, mis toidab Safarit ja kõiki teisi iOS-is töötavaid kolmanda osapoole brausereid.

Pegasuse moodi stsenaarium

Mõlema vea avastamine, mille kohta on Apple'i avalikustamisest palju rohkem teada, omistati anonüümsele uurijale.

Üks ekspert väljendas muret, et Apple'i uusimad vead "võivad anda ründajatele tõhusalt täieliku juurdepääsu seadmele", võivad nad tekitada Pegasuse moodi stsenaarium, mis sarnaneb stsenaariumiga, mille puhul rahvusriikide APT-d ründasid sihtmärke nuhkvaraga mille tegi Iisraeli NSO Group, kasutades ära iPhone'i haavatavust.

"Enamik inimesi: värskendage tarkvara päeva lõpuks," tweeted Rachel Tobac, SocialProof Security tegevjuht nullpäevade kohta. "Kui ohumudel on kõrgendatud (ajakirjanik, aktivist, rahvusriikide sihtmärk jne): värskendage kohe," hoiatas Tobac.

Null-päevad on külluses

Puudused avalikustati koos teiste Google'i selle nädala uudistega, et see lappis oma Chrome'i brauseri jaoks sel aastal seni viiendat nullpäeva, mis on suvaline koodikäivitusviga aktiivse rünnaku all.

Uudised tipptasemel tehnoloogiamüüjate turvaaukude kohta, mida ohus osalejad tõrjuvad, näitavad, et vaatamata tipptasemel tehnoloogiaettevõtete parimatele jõupingutustele oma tarkvara iga-aastaste turvaprobleemide lahendamisel, on see võitlus endiselt ülesmäge, märkis ettevõtte vanemtehniline direktor Andrew Whaley. Promon, Norra rakenduste turvaettevõte.

Ta ütles, et iOS-i vead on eriti murettekitavad, arvestades iPhone'ide laialdast levikut ja kasutajate täielikku sõltuvust igapäevaelus mobiilseadmetest. Whaley märkis, et nende seadmete kaitsmise kohustus ei ole siiski ainult müüjatel, vaid ka kasutajatel, kes on olemasolevatest ohtudest teadlikumad.

"Kuigi me kõik toetume oma mobiilseadmetele, ei ole need haavamatud ja kasutajatena peame hoidma oma valvsust täpselt nagu lauaarvutite operatsioonisüsteemide puhul," ütles ta Threatpostile saadetud meilis.

Samal ajal peaksid iPhone'idele ja muudele mobiilseadmetele mõeldud rakenduste arendajad lisama oma tehnoloogiasse täiendava turvakontrollikihi, et nad ei sõltuks sageli OS-i turvalisusest, arvestades sageli ilmnevaid vigu, märkis Whaley.

"Meie kogemus näitab, et seda ei juhtu piisavalt, mistõttu võib pangandus ja teised kliendid olla haavatavad," ütles ta.