Firma Apple wydała w tym tygodniu pilne aktualizacje zabezpieczeń, aby wyeliminować luki dnia zerowego w starszych modelach iPhone'a, iPada i iPoda.
Opublikowane w środę łatki rozwiązują problem z zapisem poza granicami, który może zostać wykorzystany przez atakującego, umożliwiając mu przejęcie kontroli nad zaatakowanym urządzeniem. Amerykańska Agencja ds. Bezpieczeństwa i Infrastruktury Cybernetycznej (CISA) zachęciła dziś użytkowników i administratorów IT do przejrzenia Apple Advisory HT213428 i zastosowania wszelkich niezbędnych aktualizacji.
Apple nie odpowiedział natychmiast na prośbę o komentarz, czy luki w zabezpieczeniach zostały mu zwrócone poprzez aktywne exploity, ale jego aktualizacja zabezpieczeń mówi: „Apple jest świadomy raportu, że ten problem mógł być aktywnie wykorzystywany”.
Luki w zabezpieczeniach oprogramowania są wymienione w bazie danych Common Vulnerabilities and Exposures (CVE), systemie finansowanym przez oddział Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych (DHS) w celu zapewnienia publicznego ujawniania luk w zabezpieczeniach i ekspozycji .
„Problem polega na tym, że jeśli strona internetowa jest zbudowana w określony sposób, może to spowodować wykonanie kodu na urządzeniu poza normalnym zabezpieczeniem i skutecznie stworzyć sytuację złośliwego oprogramowania na urządzeniu, które może narazić dane, kontakty, lokalizację, wstawić złośliwe oprogramowanie oprogramowanie. przedmioty itp powiedział Jack Gold, główny analityk w J. Gold Associates, LLC.
"Więc to jest duży problem" - dodał.
Luki dotyczą iPhone'a 6, iPhone'a 6 Plus, iPada Air, iPada mini 2, iPada mini 3 i iPoda touch (6. generacji) oraz komputerów z wcześniejszymi wersjami systemu macOS.
Gold powiedział, że problem dotyczy tej grupy starszych urządzeń, a nie nowszych modeli. Mimo to, powiedział, każdy, kto ma jedno ze starszych urządzeń, powinien jak najszybciej dokonać aktualizacji.
Chociaż proponowana łatka dla starszych urządzeń może wydawać się nieistotna, cyberprzestępcy szczególnie lubią starsze, niezałatane technologie, zwłaszcza jeśli luka daje im pełną kontrolę i możliwość dostępu do innych systemów i usług.
„Atakujący może zwabić potencjalną ofiarę do specjalnie spreparowanej strony internetowej lub użyć złośliwej reklamy, aby skompromitować podatny na ataki system, wykorzystując tę lukę”, powiedział Malwarebytes w dzisiejszym poście na blogu. „Ponieważ luka istnieje w oprogramowaniu do renderowania HTML firmy Apple (WebKit). WebKit działa ze wszystkimi przeglądarkami internetowymi iOS i Safari, więc potencjalnymi celami są iPhone'y, iPady i komputery Mac, które mogą zostać oszukane w celu wykonania nieautoryzowanego kodu.
Problem został rozwiązany w systemach iOS 15.6.1, iPadOS 15.6.1 i macOS Monterey 12.5.1. Apple zachęca użytkowników do aktualizacji do najnowszych wersji swojego oprogramowania.
Prawa autorskie © 2022 IDG Communications, Inc.