iPhone-käyttäjiä kehotettiin päivittämään 2 nollapäivään

Apple kehottaa macOS-, iPhone- ja iPad-käyttäjiä välittömästi asentamaan vastaavat päivitykset tällä viikolla, jotka sisältävät korjauksia kahdelle nollapäivälle aktiivisen hyökkäyksen kohteena. Korjaukset on tarkoitettu haavoittuvuuksille, joiden avulla hyökkääjät voivat suorittaa mielivaltaista koodia ja lopulta ottaa haltuunsa laitteet.

Korjauksia on saatavilla tehostetuille laitteille iOS 15.6.1 ja macOS Monterey 12.5.1. Korjaukset korjaavat kaksi virhettä, jotka vaikuttavat periaatteessa kaikkiin Apple-laitteisiin, jotka voivat käyttää joko iOS 15:tä tai sen työpöytäkäyttöjärjestelmän Monterey-versiota, Applen keskiviikkona julkaisemien tietoturvapäivitysten mukaan.

Yksi puutteista on ydinvirhe (CVE-2022-32894), joka on läsnä sekä iOS:ssä että macOS:ssä. Applen mukaan kyseessä on "rajojen ulkopuolinen kirjoitusongelma, [joka] korjattiin parannetulla rajojen tarkistuksella".

Applen mukaan haavoittuvuus antaa sovellukselle mahdollisuuden suorittaa mielivaltaista koodia ytimen oikeuksilla, mikä tavallisesti sanoi, että on olemassa raportti, jonka mukaan sitä "on saatettu aktiivisesti hyödyntää".

Toinen virhe tunnistetaan WebKit-virheeksi (jäljitetty nimellä CVE-2022-32893), joka on rajojen ulkopuolella oleva kirjoitusongelma, jonka Apple korjasi parantamalla rajojen tarkistusta. Virhe mahdollistaa haitallisen verkkosisällön käsittelyn, joka voi johtaa koodin suorittamiseen, ja Applen mukaan sen on myös raportoitu olevan aktiivisessa hyväksikäytössä. WebKit on selainmoottori, joka käyttää Safaria ja kaikkia muita iOS:ssä toimivia kolmannen osapuolen selaimia.

Pegasuksen kaltainen skenaario

Molempien vikojen löytäminen, joista tiedetään vähän enemmän kuin Applen paljastaminen, annettiin anonyymin tutkijan ansioksi.

Eräs asiantuntija ilmaisi huolensa siitä, että Applen viimeisimmät puutteet "voivat tehokkaasti antaa hyökkääjille täyden pääsyn laitteeseen", he saattavat luoda Pegasuksen kaltainen skenaario, joka on samanlainen kuin se, jossa kansallisvaltioiden APT:t hyökkäsivät kohteisiin vakoiluohjelmien kanssa Israelin NSO Groupin valmistama iPhone-haavoittuvuus.

"Useimmat ihmiset: päivitä ohjelmisto päivän loppuun mennessä" Tweeted Rachel Tobac, SocialProof Securityn toimitusjohtaja nollapäivistä. "Jos uhkamalli on korotettu (toimittaja, aktivisti, kansallisvaltioiden kohteena jne): päivitä nyt", Tobac varoitti.

Nolla-päivää runsaasti

Puutteet paljastettiin muiden Googlen tällä viikolla uutisten ohella oli paikkaamassa viides nollapäivä tähän mennessä tänä vuonna Chrome-selaimelle, mielivaltaiselle koodin suoritusvirheelle aktiivisen hyökkäyksen kohteena.

Uutiset yhä useammista haavoittuvuuksista huipputeknologioiden toimittajilta, joita uhkien toimijat uhkaavat, osoittavat, että huolimatta huippuluokan teknologiayritysten parhaista ponnisteluista ohjelmistojensa monivuotisten tietoturvaongelmien ratkaisemiseksi, taistelu jatkuu edelleen ylämäkeen, totesi Andrew Whaley, yrityksen vanhempi tekninen johtaja. Promon, norjalainen sovellusturvayritys.

iOS:n puutteet ovat erityisen huolestuttavia, kun otetaan huomioon iPhone-laitteiden yleisyys ja käyttäjien täydellinen riippuvuus mobiililaitteista päivittäisessä elämässään, hän sanoi. Kuitenkin velvollisuus ei ole vain myyjien suojella näitä laitteita, vaan myös käyttäjien on oltava tietoisempia olemassa olevista uhista, Whaley huomautti.

"Vaikka me kaikki luotamme mobiililaitteihimme, ne eivät ole haavoittumattomia, ja käyttäjinä meidän on säilytettävä vartiomme aivan kuten pöytätietokoneiden käyttöjärjestelmissä", hän sanoi Threatpostille lähettämässään sähköpostissa.

Samaan aikaan iPhone- ja muille mobiililaitteille tarkoitettujen sovellusten kehittäjien tulisi myös lisätä tekniikkaansa ylimääräinen suojaustaso, jotta he olisivat vähemmän riippuvaisia ​​käyttöjärjestelmän turvallisuudesta suojauksen vuoksi, kun otetaan huomioon usein ilmenevät puutteet, Whaley huomautti.

"Kokemuksemme osoittavat, että tätä ei tapahdu tarpeeksi, mikä saattaa jättää pankki- ja muut asiakkaat haavoittuviksi", hän sanoi.