Użytkownicy iPhone'a wezwani do aktualizacji do poprawki 2 Zero-Days

Apple wzywa użytkowników macOS, iPhone'a i iPada do natychmiastowego zainstalowania odpowiednich aktualizacji w tym tygodniu, które zawierają poprawki na dwa dni zerowych pod aktywnym atakiem. Poprawki dotyczą luk, które umożliwiają atakującym wykonanie dowolnego kodu i ostatecznie przejęcie urządzeń.

Patche są dostępne dla uruchomionych urządzeń iOS 15.6.1 i macOS Monterey 12.5.1. Zgodnie z aktualizacjami zabezpieczeń wydanymi przez Apple Wednesday, poprawki usuwają dwie luki, które zasadniczo wpływają na każde urządzenie Apple, na którym można uruchomić system iOS 15 lub wersję Monterey swojego komputera stacjonarnego.

Jedną z wad jest błąd jądra (CVE-2022-32894), który jest obecny zarówno w iOS, jak i macOS. Według Apple jest to „problem z zapisem poza granicami [który] został rozwiązany przez ulepszone sprawdzanie granic”.

Luka umożliwia aplikacji wykonanie dowolnego kodu z uprawnieniami jądra, według Apple, który w zwykły niejasny sposób powiedział, że pojawił się raport, że „mogła być aktywnie wykorzystywana”.

Druga usterka została zidentyfikowana jako błąd WebKit (śledzony jako CVE-2022-32893), czyli błąd zapisu poza granicami, który firma Apple rozwiązała za pomocą ulepszonego sprawdzania granic. Jak podaje Apple, luka umożliwia przetwarzanie złośliwie spreparowanej zawartości internetowej, która może prowadzić do wykonania kodu. WebKit to silnik przeglądarki, który obsługuje Safari i wszystkie inne przeglądarki innych firm działające w systemie iOS.

Scenariusz podobny do Pegaza

Odkrycie obu wad, o których niewiele wiadomo poza ujawnieniem Apple, przypisuje się anonimowemu badaczowi.

Jeden z ekspertów wyraził zaniepokojenie, że najnowsze wady Apple „mogą skutecznie zapewnić atakującym pełny dostęp do urządzenia”, które mogą spowodować podobny do pegaza scenariusz podobny do tego, w którym APT z państw narodowych ostrzelały cele z oprogramowaniem szpiegującym wykonane przez izraelską grupę NSO poprzez wykorzystanie luki w telefonie iPhone.

„Dla większości osób: aktualizuj oprogramowanie do końca dnia” podsumowałem Rachel Tobac, dyrektor generalny SocialProof Security, w odniesieniu do dni zerowych. „Jeśli model zagrożenia jest podwyższony (dziennikarz, aktywista, cel państw narodowych itp.): zaktualizuj teraz” – ostrzegł Tobac.

Zero dni obfitych

Wady zostały ujawnione wraz z innymi wiadomościami z Google w tym tygodniu, że to łatał jak dotąd piąty dzień zerowy w tym roku dla przeglądarki Chrome, błąd wykonania dowolnego kodu pod aktywnym atakiem.

Wiadomość o jeszcze większej liczbie luk w zabezpieczeniach ze strony czołowych dostawców technologii, które są atakowane przez cyberprzestępców, pokazuje, że pomimo najlepszych wysiłków czołowych firm technologicznych mających na celu rozwiązanie odwiecznych problemów z bezpieczeństwem w ich oprogramowaniu, pozostaje to trudna bitwa, zauważył Andrew Whaley, starszy dyrektor techniczny w firmie Promon, norweska firma zajmująca się bezpieczeństwem aplikacji.

Wady systemu iOS są szczególnie niepokojące, biorąc pod uwagę wszechobecność iPhone'ów i całkowitą zależność użytkowników od urządzeń mobilnych w codziennym życiu - powiedział. Jednak obowiązek ochrony tych urządzeń spoczywa nie tylko na dostawcach, ale także na tym, aby użytkownicy byli bardziej świadomi istniejących zagrożeń, zauważył Whaley.

„Chociaż wszyscy polegamy na naszych urządzeniach mobilnych, nie są one niezniszczalne, a jako użytkownicy musimy zachować czujność, tak jak robimy to w przypadku systemów operacyjnych na komputery stacjonarne” – powiedział w e-mailu do Threatpost.

Jednocześnie twórcy aplikacji na iPhone'y i inne urządzenia mobilne również powinni dodać dodatkową warstwę kontroli bezpieczeństwa w swojej technologii, aby byli mniej zależni od bezpieczeństwa systemu operacyjnego, biorąc pod uwagę często pojawiające się wady, zauważył Whaley.

„Nasze doświadczenie pokazuje, że to się nie dzieje wystarczająco, co może narazić bankowość i innych klientów na ryzyko” – powiedział.