Η CISA προειδοποίησε σήμερα ότι ένα επιδιορθωμένο ελάττωμα ασφαλείας του πυρήνα που επηρεάζει τα iPhone, Mac, τηλεοράσεις και ρολόγια της
Apple
χρησιμοποιείται πλέον ενεργά για επιθέσεις.
Παρακολούθηση ως
CVE-2022-48618
και ανακαλύφθηκε από τους ερευνητές ασφαλείας της Apple, το σφάλμα αποκαλύφθηκε μόλις στις 9 Ιανουαρίου σε μια
ενημέρωση
σε ένα
συμβουλευτική για την ασφάλεια
δημοσιεύθηκε τον Δεκέμβριο του 2022.
Η εταιρεία δεν έχει ακόμη αποκαλύψει εάν η ευπάθεια επιδιορθώθηκε επίσης σιωπηλά πριν από περισσότερα από δύο χρόνια, όταν εκδόθηκε για πρώτη φορά η συμβουλευτική.
“Ένας εισβολέας με αυθαίρετη δυνατότητα ανάγνωσης και εγγραφής μπορεί να είναι σε θέση να παρακάμψει τον έλεγχο ταυτότητας δείκτη”, η εταιρεία
αποκάλυψε
αυτο το μηνα.
“Η Apple γνωρίζει μια αναφορά ότι αυτό το ζήτημα μπορεί να έχει γίνει αντικείμενο εκμετάλλευσης σε εκδόσεις του iOS που κυκλοφόρησαν πριν από το iOS 15.7.1.”
Αυτή η ακατάλληλη ευπάθεια ασφαλείας ελέγχου ταυτότητας επιτρέπει στους εισβολείς να παρακάμψουν τον έλεγχο ταυτότητας δείκτη, μια δυνατότητα ασφαλείας που έχει σχεδιαστεί για να αποκλείει επιθέσεις που προσπαθούν να εκμεταλλευτούν σφάλματα καταστροφής της μνήμης.
Η Apple αντιμετώπισε το ελάττωμα με βελτιωμένους ελέγχους σε συσκευές με iOS 16.2 ή μεταγενέστερη έκδοση, iPadOS 16.2 ή νεότερη έκδοση, macOS Ventura ή νεότερη έκδοση, tvOS 16.2 ή νεότερη έκδοση και
watchOS 9
.2 ή νεότερη έκδοση.
Ο κατάλογος των συσκευών που επηρεάζονται από αυτό το ελάττωμα που χρησιμοποιείται ενεργά είναι αρκετά εκτενής και επηρεάζει τόσο παλαιότερα όσο και νεότερα μοντέλα, συμπεριλαμβανομένων:
- iPhone 8 και μεταγενέστερα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και μεταγενέστερα, iPad 5ης γενιάς και μεταγενέστερα, και iPad mini 5ης γενιάς και μεταγενέστερα
- Mac που τρέχουν macOS Ventura
- Apple TV 4K, Apple TV 4K (2ης γενιάς και μεταγενέστερη) και Apple TV HD
- και Apple Watch Series 4 και νεότερη έκδοση
Οι ομοσπονδιακές
υπηρεσίες
διέταξαν να επιδιορθωθούν έως τις 21 Φεβρουαρίου
Ενώ η Apple δεν έχει ακόμη κοινοποιήσει περισσότερες λεπτομέρειες σχετικά με την ενεργό εκμετάλλευση CVE-2022-48618 στη φύση, η CISA έχει
προστέθηκε
την ευπάθεια σε αυτήν
Κατάλογος γνωστών εκμεταλλευόμενων ευπαθειών
.
Διέταξε επίσης τις ομοσπονδιακές υπηρεσίες των ΗΠΑ να επιδιορθώσουν το σφάλμα έως τις 21 Φεβρουαρίου, όπως απαιτείται από μια δεσμευτική επιχειρησιακή οδηγία (
ΔΣ 22-01
) που εκδόθηκε τον Νοέμβριο του 2021.
Την περασμένη εβδομάδα, η Apple κυκλοφόρησε επίσης ενημερώσεις ασφαλείας για την επιδιόρθωση του πρώτου φετινού σφάλματος zero-day (CVE-2024-23222) που εκμεταλλεύτηκε στις επιθέσεις, ένα
πρόβλημα
σύγχυσης στο WebKit που οι εισβολείς θα μπορούσαν να εκμεταλλευτούν για να κερδίσουν την εκτέλεση κώδικα σε ευάλωτα iPhone, Mac και Apple TV.
Την ίδια μέρα, η εταιρεία
επίσης ενημερωμένες εκδόσεις κώδικα
σε παλαιότερα μοντέλα iPhone και iPad για δύο ακόμη WebKit zero-days που παρακολουθούνται ως CVE-2023-42916 και CVE-2023-42917 και διορθώνονται τον Νοέμβριο για νεότερες συσκευές.
VIA:
bleepingcomputer.com
