Ranljivosti lahko akterjem groženj omogočijo, da prekinejo ali dostopajo do dejavnosti jedra, in so lahko aktivno izkoriščene.
Apple je v četrtek pohitel s popravki za dva ničelna dneva, ki vplivajo na macOS in iOS, oba pa sta verjetno v aktivnem izkoriščanju in bi lahko povzročitelju grožnje omogočila motenje ali dostop do dejavnosti jedra.
Apple je izdal ločena varnostne posodobitve za hrošče – ranljivost, ki prizadene tako macOS kot iOS, sledi kot CVE-2022-22675 in napaka v sistemu macOS, sledena kot CVE-2022-22674. Njihovo odkritje so pripisali anonimnemu raziskovalcu.
CVE-2022-22675 – ki ga najdemo v komponenti AppleAVD, ki je prisotna v macOS in iOS – bi lahko aplikaciji omogočil izvajanje poljubne kode s privilegiji jedra, glede na svetovanje.
"Težava pri pisanju izven meja je bila obravnavana z izboljšanim preverjanjem meja," je zapisano v svetovanju. "Apple je seznanjen s poročilom, da je bila ta težava morda aktivno izkoriščena."
CVE-2022-22674 je v nasvetu opisan kot »težava pri branju izven meja« v grafičnem gonilniku Intel za macOS, ki lahko aplikaciji omogoči branje pomnilnika jedra. Apple je napako – ki je bila morda tudi aktivno izkoriščena – obravnaval z izboljšano validacijo vnosa, so sporočili iz podjetja.
Kot je običajno, Apple ni razkril več podrobnosti o težavah in kakšnih izkoriščanjih se lahko zgodi. Po mnenju svetovalca tega ne bo storil, dokler ne zaključi preiskave ranljivosti. Vendar stranke pozivajo, naj čim prej posodobijo naprave, da popravijo hrošče.
Zero-Day Flurry
Ranljivosti predstavljajo četrto in peto napako ničelnega dne, ki jo je letos popravil Apple. To število je na dobri poti, da doseže ali nadomesti število tovrstnih ranljivosti, na katere se je moral Apple odzvati s popravki lani, ki je bil 12, ugotavljajo varnostni raziskovalci pri Googlu, ki ohranja preglednico napak ničelnega dne, razvrščenih po prodajalcu.
Za začetek leta 2022, januarja, Apple popravil dva hrošča ničelnega dne, enega v operacijskih sistemih naprave in drugega v mehanizmu WebKit, ki je osnova brskalnika Safari. Februarja je Apple popravil še enega aktivno izkoriščali Napaka WebKit, težava brez uporabe, ki je akterjem groženj omogočila izvajanje poljubne kode na prizadetih napravah, potem ko obdelajo zlonamerno izdelano spletno vsebino.
Lansko leto se je podjetje spopadalo s številnimi ničelnimi dnevi WebKita in drugimi ključnimi popravki, ki so zahtevali nujne posodobitve za različne operacijske sisteme, glede na Googlovo preglednico.
Ena od teh napak je bila v središču ene največjih varnostnih polemik leta – a ranljivost zero-click ciljanje na iMessage, ki so ga poimenovali »ForcedEntry«. skupine NSO Vohunska programska oprema Pegasus domnevno izkoriščali vohuniti o aktivistih in novinarjih. Situacija je sčasoma pripeljala do tožba proti podjetju s sedežem v Izraelu izvaja Facebook/Meta podružnica WhatsApp in Apple.
Selitev v oblak? Odkrijte nastajajoče grožnje varnosti v oblaku skupaj s trdnimi nasveti, kako zaščititi svoja sredstva z našimi BREZPLAČNO prenosljiva e-knjiga, “Varnost v oblaku: Napoved za leto 2022.” Raziskujemo največja tveganja in izzive organizacij, najboljše prakse za obrambo in nasvete za varnostni uspeh v tako dinamičnem računalniškem okolju, vključno s priročnimi kontrolnimi seznami.
- blockchain
- coingenius
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- mobile Security
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- Ranljivosti
- Spletna varnost
- spletna varnost
- zefirnet
