אפל קורא למשתמשי macOS, iPhone ו-iPad להתקין השבוע עדכונים בהתאמה הכוללים תיקונים ליומיים אפס תחת התקפה פעילה. התיקונים מיועדים לנקודות תורפה המאפשרות לתוקפים לבצע קוד שרירותי ובסופו של דבר להשתלט על מכשירים.
טלאים זמינים עבור מכשירים שפועלים פועלים iOS 15.6.1 ו macOS Monterey 12.5.1. התיקונים מטפלים בשני פגמים, המשפיעים בעצם על כל מכשיר אפל שיכול להריץ או iOS 15 או גרסת מונטריי של מערכת ההפעלה השולחנית שלו, על פי עדכוני אבטחה שפורסמו על ידי Apple Wednesday.
אחד הפגמים הוא באג ליבה (CVE-2022-32894), שקיים גם ב-iOS וגם ב-macOS. לפי אפל מדובר ב"בעיית כתיבה מחוץ לתחום [שטופלה] באמצעות בדיקת גבולות משופרת".
הפגיעות מאפשרת לאפליקציה להפעיל קוד שרירותי עם הרשאות ליבה, לפי אפל, שבאופן מעורפל רגיל, אמרה שיש דיווח ש"ייתכן שהוא נוצל באופן פעיל".
הפגם השני מזוהה כבאג WebKit (במעקב כ-CVE-2022-32893), שהוא בעיית כתיבה מחוץ לתחום שאפל טיפלה בבדיקת גבולות משופרת. הפגם מאפשר לעבד תוכן אינטרנט בעל מבנה זדוני שעלול להוביל לביצוע קוד, וכן דווח כי הוא נמצא תחת ניצול פעיל, על פי אפל. WebKit הוא מנוע הדפדפן שמניע את Safari וכל שאר הדפדפנים של צד שלישי שעובדים על iOS.
תרחיש דמוי פגסוס
גילוי שני הפגמים, שעליהם ידוע מעט מעבר לחשיפת אפל, נזקף לזכותו של חוקר אנונימי.
מומחה אחד הביע דאגה שהפגמים האחרונים של אפל "יכולים לתת לתוקפים גישה מלאה למכשיר", הם עלולים ליצור דמוי פגסוס תרחיש דומה לתרחיש שבו APTs של מדינות לאום ספגו מטרות עם תוכנות ריגול נעשה על ידי קבוצת NSO הישראלית על ידי ניצול פגיעות של אייפון.
"לרוב האנשים: עדכן תוכנה עד סוף היום," צייץ רחל טובק, מנכ"לית SocialProof Security, לגבי ימי האפס. "אם מודל האיום גבוה (עיתונאי, פעיל, ממוקד על ידי מדינות לאום וכו'): עדכן עכשיו", הזהיר טובאק.
אפס ימים בשפע
הפגמים נחשפו לצד חדשות אחרות מגוגל השבוע על כך היה מתקן יום האפס החמישי שלה עד כה השנה עבור דפדפן Chrome שלה, באג שרירותי של ביצוע קוד תחת התקפה פעילה.
החדשות על נקודות תורפה נוספות של ספקי טכנולוגיה מובילים שנפגעו על ידי גורמי איומים מוכיחה שלמרות המאמצים הטובים ביותר של חברות טכנולוגיה מהשורה הראשונה לטפל בבעיות אבטחה נצחיות בתוכנה שלהן, זה נותר קרב עלייה, ציין אנדרו וויילי, מנהל טכני בכיר ב- פרומון, חברת אבטחת אפליקציות נורווגית.
הפגמים ב-iOS מדאיגים במיוחד, בהתחשב בנוכחותם של מכשירי האייפון וההסתמכות המוחלטת של המשתמשים על מכשירים ניידים בחיי היומיום שלהם, אמר. עם זאת, האחריות היא לא רק על הספקים להגן על המכשירים הללו אלא גם על המשתמשים להיות מודעים יותר לאיומים הקיימים, ציין ווילי.
"למרות שכולנו מסתמכים על המכשירים הניידים שלנו, הם אינם בלתי פגיעים, וכמשתמשים אנחנו צריכים לשמור על המשמר שלנו בדיוק כמו שאנחנו עושים על מערכות הפעלה שולחניות", אמר באימייל ל-Threatpost.
במקביל, מפתחי אפליקציות לאייפון ומכשירים ניידים אחרים צריכים גם להוסיף שכבה נוספת של בקרות אבטחה בטכנולוגיה שלהם כך שהם פחות מסתמכים על אבטחת מערכת ההפעלה להגנה, לאור הפגמים שצצים לעתים קרובות, ציין ווילי.
"הניסיון שלנו מראה שזה לא קורה מספיק, מה שעשוי להשאיר את הבנקים ולקוחות אחרים פגיעים", אמר.
- Apple iPhone
- נקודות תורפה של אפל
- blockchain
- קוינגניוס
- ארנקים
- cryptryptxchange
- אבטחת סייבר
- עברייני אינטרנט
- אבטחת סייבר
- מחלקה לביטחון מולדת
- ארנקים דיגיטליים
- חומת אש
- פריצות
- קספרסקי
- תוכנות זדוניות
- מקאפי
- אבטחה ניידת
- חדשות
- NexBLOC
- אפלטון
- plato ai
- מודיעין אפלטון
- משחק אפלטון
- אפלטון נתונים
- פלטוגיימינג
- איום פוסט
- VPN
- פגיעויות
- אבטחת אתר
- זפירנט
