Uporabniki iPhona so pozvani k posodobitvi na popravek 2 Zero-Days

Apple poziva uporabnike macOS, iPhone in iPad, naj ta teden takoj namestijo ustrezne posodobitve, ki vključujejo popravke za dva ničelna dneva pod aktivnim napadom. Popravki so namenjeni ranljivostim, ki napadalcem omogočajo izvajanje poljubne kode in na koncu prevzamejo naprave.

Za delovanje prizadetih naprav so na voljo popravki iOS 15.6.1 in macOS Monterey 12.5.1. Glede na varnostne posodobitve, ki jih je Apple izdal v sredo, popravki odpravljajo dve napaki, ki v bistvu vplivata na katero koli napravo Apple, ki lahko poganja bodisi iOS 15 ali Monterey različico svojega namiznega operacijskega sistema.

Ena od napak je napaka v jedru (CVE-2022-32894), ki je prisoten v iOS in macOS. Apple pravi, da gre za "težavo pisanja izven meja [ki] je bila obravnavana z izboljšanim preverjanjem meja."

Ranljivost aplikaciji omogoča izvajanje poljubne kode s privilegiji jedra, pravi Apple, ki je na običajno nejasen način dejal, da obstaja poročilo, da je "morda bila aktivno izkoriščena."

Druga napaka je identificirana kot napaka WebKit (sledi se kot CVE-2022-32893), ki je težava pri pisanju izven meja, ki jo je Apple rešil z izboljšanim preverjanjem meja. Napaka omogoča obdelavo zlonamerno izdelane spletne vsebine, ki lahko privede do izvajanja kode, poleg tega pa poročajo, da je aktivno izkoriščena, pravi Apple. WebKit je motor brskalnika, ki poganja Safari in vse druge brskalnike drugih proizvajalcev, ki delujejo v sistemu iOS.

Scenarij, podoben Pegazu

Za odkritje obeh pomanjkljivosti, o katerih je znanega le malo več od Appleovega razkritja, je bil zaslužen anonimni raziskovalec.

En strokovnjak je izrazil zaskrbljenost, da bi lahko najnovejše Applove napake »napadalcem dejansko omogočile popoln dostop do naprave«, lahko ustvarijo Podobno Pegazu scenarij, podoben tistemu, v katerem so APT-ji nacionalnih držav baražirali tarče z vohunsko programsko opremo izdelala izraelska skupina NSO Group z izkoriščanjem ranljivosti iPhone.

"Za večino ljudi: posodobite programsko opremo do konca dneva," tweeted Rachel Tobac, izvršna direktorica družbe SocialProof Security, glede ničelnih dni. "Če je model grožnje povišan (novinar, aktivist, tarča nacionalnih držav itd.): posodobite zdaj," je opozoril Tobac.

Zero-Days Abound

Napake so bile razkrite skupaj z drugimi novicami iz Googla ta teden, da je je krpal svoj peti ničelni dan doslej letos za njegov brskalnik Chrome, napako pri izvajanju poljubne kode, ki je pod aktivnim napadom.

Novice o še več ranljivosti vrhunskih ponudnikov tehnologije, ki jih napadejo akterji groženj, kažejo, da kljub najboljšim prizadevanjem vrhunskih tehnoloških podjetij, da bi rešila večletna varnostna vprašanja v svoji programski opremi, ostaja težka bitka, je opozoril Andrew Whaley, višji tehnični direktor pri Promon, norveško podjetje za varnost aplikacij.

Napake v sistemu iOS so še posebej zaskrbljujoče, glede na vseprisotnost iPhonov in popolno odvisnost uporabnikov od mobilnih naprav v vsakdanjem življenju, je dejal. Vendar pa Whaley ni opozoril le na proizvajalce, da zaščitijo te naprave, ampak tudi na uporabnike, da se bolje zavedajo obstoječih groženj.

"Čeprav se vsi zanašamo na svoje mobilne naprave, niso neranljive in kot uporabniki moramo biti previdni, tako kot to počnemo pri namiznih operacijskih sistemih," je dejal v e-poštnem sporočilu Threatpostu.

Hkrati bi morali razvijalci aplikacij za telefone iPhone in druge mobilne naprave dodati dodatno plast varnostnih kontrol v svojo tehnologijo, tako da so manj odvisni od varnosti OS za zaščito, glede na napake, ki se pogosto pojavljajo, je opazil Whaley.

"Naše izkušnje kažejo, da se to ne dogaja dovolj, zaradi česar so lahko bančne in druge stranke ranljive," je dejal.