Security

Η Apple αποκαλύπτει 2 νέες zero-days που εκμεταλλεύονται για να επιτεθούν σε iPhone και Mac

By

Marizas Dimitris

On

Σεπ 8, 2023

Η Apple κυκλοφόρησε ενημερώσεις ασφαλείας έκτακτης ανάγκης για να διορθώσει δύο νέα τρωτά σημεία zero-day που αξιοποιήθηκαν σε επιθέσεις που στοχεύουν χρήστες iPhone και Mac, για συνολικά 13 μηδενικές ημέρες εκμετάλλευσης που επιδιορθώθηκαν από την αρχή του έτους.

«Η Apple γνωρίζει μια αναφορά ότι αυτό το ζήτημα μπορεί να έχει αξιοποιηθεί ενεργά», η εταιρεία

αποκάλυψε

σε

ασφάλεια

συμβουλευτικές υπηρεσίες

περιγράφοντας τα ελαττώματα ασφαλείας.

Τα σφάλματα εντοπίστηκαν στα πλαίσια Image I/O και Wallet και παρακολουθούνται ως CVE-

2023

-41064 (που ανακαλύφθηκε από ερευνητές ασφάλειας του Citizen Lab) και CVE-2023-41061 (ανακαλύφθηκε από την Apple).

Το Citizen Lab αποκάλυψε επίσης σήμερα ότι τα σφάλματα CVE-2023-41064 και CVE-2023-41061 καταχράστηκαν ενεργά ως μέρος μιας αλυσίδας εκμετάλλευσης iMessage με μηδέν κλικ με την ονομασία BLASTPASS που χρησιμοποιήθηκε για την ανάπτυξη του μισθοφορικού κατασκοπευτικού λογισμικού Pegasus της ομάδας NSO σε διορθωμένα iPhone (με iOS (16.6) μέσω συνημμένων PassKit που περιέχουν κακόβουλες εικόνες.

Το CVE-2023-41064 είναι μια αδυναμία υπερχείλισης buffer που ενεργοποιείται κατά την επεξ

εργασία

εικόνων που έχουν δημιουργηθεί με κακόβουλο τρόπο και μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα σε μη επιδιορθωμένες συσκευές.

Το CVE-2023-41061 είναι ένα ζήτημα επικύρωσης που μπορεί να αξιοποιηθεί χρησιμοποιώντας ένα κακόβουλο συνημμένο για να αποκτήσει επίσης αυθαίρετη εκτέλεση κώδικα σε στοχευμένες συσκευές.

Η Apple διόρθωσε τις ημέρες μηδέν στο macOS Ventura 13.5.2,

iOS 16.6.1

,

iPadOS

16.6.1 και

watchOS 9

.6.2 με βελτιωμένη λογική και χειρισμό μνήμης.

Ο κατάλογος των συσκευών που επηρεάζονται είναι μάλλον εκτενής, δεδομένου ότι τα δύο σφάλματα ασφαλείας επηρεάζουν τόσο παλαιότερα όσο και νεότερα μοντέλα και περιλαμβάνει:

iPhone 8 και μεταγενέστερα
iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και μεταγενέστερα, iPad 5ης γενιάς και μεταγενέστερα, και iPad mini 5ης γενιάς και μεταγενέστερα
Mac που τρέχουν macOS Ventura
Apple Watch Series 4 και νεότερη έκδοση

Καθορίστηκαν 13 μηδενικές ημέρες εκμετάλλευσης φέτος

Από την αρχή του έτους, η Apple έχει διορθώσει 13 σφάλματα zero-day που εκμεταλλεύονται σε επιθέσεις σε συσκευές που εκτελούν iOS, macOS, iPadOS και watchOS.

Πριν από δύο μήνες, τον Ιούλιο, η Apple ώθησε εκτός ζώνης ενημερώσεις Rapid Security Response (RSR) για να αντιμετωπίσει μια ευπάθεια (CVE-2023-37450) που επηρεάζει πλήρως τα επιδιορθωμένα iPhone, Mac και iPad.

Αργότερα επιβεβαίωσε ότι οι ενημερώσεις RSR διέκοψαν εν μέρει την περιήγηση στον ιστό σε επιδιορθωμένες συσκευές και κυκλοφόρησαν νέες και σταθερές εκδόσεις των ενημερώσεων κώδικα buggy δύο ημέρες αργότερα.

Πριν από σήμερα, η Apple αναφέρθηκε επίσης:

Ενημέρωση 7 Σεπτεμβρίου, 15:42 EDT:

Προστέθηκαν πληροφορίες σχετικά με την αποκάλυψη του Citizen Lab της αλυσίδας εκμετάλλευσης iMessage με μηδενικό κλικ.

bleepingcomputer.com

Παρόμοια άρθρα