Η Apple κυκλοφόρησε ενημερώσεις ασφαλείας έκτακτης ανάγκης για να επιδιορθώσει ένα
νέο
ελάττωμα ασφάλειας zero-day
που
εκμεταλλεύεται σε επιθέσεις που στοχεύουν χρήστες iPhone και iPad.
“Η Apple γνωρίζει μια αναφορά ότι αυτό το ζήτημα μπορεί να έχει γίνει ενεργή εκμετάλλευση σε εκδόσεις του iOS πριν από το iOS 16.6.”
είπε η εταιρεία
σε γνωμοδότηση που εκδόθηκε την Τετάρτη.
Η ημέρα μηδέν (CVE-2023-42824) προκαλείται από μια αδυναμία που ανακαλύφθηκε στον πυρήνα XNU που επιτρέπει στους τοπικούς εισβολείς να κλιμακώσουν τα προνόμια σε iPhone και iPad που δεν έχουν επιδιορθωθεί.
Ενώ η Apple είπε ότι αντιμετώπισε το ζήτημα ασφάλειας με βελτιωμένους ελέγχους, δεν έχει ακόμη αποκαλύψει ποιος βρήκε και ανέφερε το ελάττωμα.
Ο κατάλογος των επηρεαζόμενων συσκευών είναι αρκετά εκτενής και περιλαμβάνει:
- iPhone XS και μεταγενέστερα
-
iPad Pro
12,9 ιντσών 2ης γενιάς και μεταγενέστερα, iPad Pro 10,5 ιντσών, iPad Pro 11 ιντσών 1ης γενιάς και μεταγενέστερα, iPad Air 3ης γενιάς και μεταγενέστερα, iPad 6ης γενιάς και μεταγενέστερα, και iPad mini 5ης γενιάς και μεταγενέστερα
Η Apple αντιμετώπισε επίσης ένα zero-day tracked as
CVE-2023-5217
και προκαλείται από α
υπερχείλιση buffer σωρού
αδυναμία στην κωδικοποίηση VP8 της βιβλιοθήκης κωδικοποιητών βίντεο libvpx ανοιχτού κώδικα, η οποία θα μπορούσε να επιτρέψει την αυθαίρετη εκτέλεση κώδικα μετά από επιτυχή εκμετάλλευση.
Το
σφάλμα libvpx είχε προηγουμένως επιδιορθωθεί από την Google στο πρόγραμμα περιήγησης ιστού Chrome και από τη Microsoft στα προϊόντα Edge, Teams και Skype.
Το CVE-2023-5217 ανακαλύφθηκε από τον ερευνητή ασφαλείας Clément Lecigne, ο οποίος είναι μέλος της Ομάδας Ανάλυσης Απειλών (TAG) της Google, μιας ομάδας ειδικών σε θέματα ασφάλειας που είναι γνωστό ότι συχνά εντοπίζει κατάχρηση μηδενικών ημερών σε στοχευμένες επιθέσεις spyware που υποστηρίζονται από την κυβέρνηση και στοχεύουν άτομα υψηλού κινδύνου.
17 μηδενικές ημέρες που αξιοποιήθηκαν σε επιθέσεις που διορθώθηκαν φέτος
Το CVE-2023-42824 είναι η 17η ευπάθεια zero-day που εκμεταλλεύεται σε επιθέσεις που έχει επιδιορθώσει η Apple από την αρχή του έτους.
Η Apple επιδιορθώνει επίσης πρόσφατα τρία άλλα σφάλματα zero-day (CVE-2023-41991, CVE-2023-41992 και CVE-2023-41993) που αναφέρθηκαν από ερευνητές του Citizen Lab και της Google TAG και τα οποία εκμεταλλεύτηκαν σε επιθέσεις spyware για την εγκατάσταση του λογισμικού κατασκοπείας Predator της Cytrox.
Το Citizen Lab αποκάλυψε δύο άλλες μηδενικές ημέρες (CVE-2023-41061 και CVE-2023-41064)—που επιδιορθώθηκαν από την Apple τον περασμένο μήνα—που καταχράστηκαν ως μέρος μιας αλυσίδας εκμετάλλευσης μηδενικού κλικ (με το όνομα BLASTPASS) για να μολύνουν πλήρως επιδιορθωμένα iPhone με NSO Group
Pegasus spyware
.
Από τον Ιανουάριο του 2023, η Apple έχει αντιμετωπίσει συνολικά 17 zero-days που αξιοποιήθηκαν για τη στόχευση iPhone και Mac, συμπεριλαμβανομένων:
