Η Apple επιβεβαιώνει ενημερώσεις ασφαλείας WebKit κατά την περιήγηση σε ορισμένους ιστότοπους
Η
Apple
επιβεβαίωσε σήμερα ότι οι ενημερώσεις ασφαλείας έκτακτης ανάγκης που κυκλοφόρησαν τη Δευτέρα για την αντιμετώπιση ενός σφάλματος μηδενικής ημέρας που εκμεταλλευόταν σε επιθέσεις επίσης διακόπτουν την περιήγηση σε ορισμένους ιστότοπους. Νέα θα κυκλοφορήσουν σύντομα για να αντιμετωπίσουν αυτό το γνωστό ζήτημα, λέει η εταιρεία.
Αν και η Apple δεν εξήγησε γιατί οι επηρεαζόμενες ιστοσελίδες δεν αποδίδονται σωστά, αυτό φέρεται να συνέβη αφού ο εντοπισμός παράγοντα χρήστη ορισμένων υπηρεσιών (π.χ. Zoom,
Facebook
και Instagram) χάλασε και προκάλεσε
αρχίστε να εμφανίζετε σφάλματα
στο Safari σε επιδιορθωμένες συσκευές.
Για παράδειγμα, μετά την εφαρμογή των ενημερώσεων RSR σε μια συσκευή iOS, ο νέος παράγοντας χρήστη που περιέχει μια συμβολοσειρά “(a)” είναι “
Mozilla/5.0 (iPhone; CPU iPhone OS 16_5_1 όπως Mac OS X) AppleWebKit/605.1.15 (KHTML, όπως Gecko) Έκδοση/16.5.2 (α) Mobile/15E148 Safari/604.1
,” που εμποδίζει τους ιστότοπους να το εντοπίσουν ως έγκυρη έκδοση του Safari, εμφανίζοντας έτσι μηνύματα σφάλματος που δεν υποστηρίζονται από το πρόγραμμα περιήγησης.
“Η Apple γνωρίζει ένα ζήτημα όπου οι πρόσφατες γρήγορες αντιδράσεις ασφαλείας ενδέχεται να εμποδίσουν την σωστή εμφάνιση ορισμένων ιστότοπων”, η εταιρεία
λέει
σε έγγραφο υποστήριξης που δόθηκε στη δημοσιότητα την Τρίτη.
“Το Rapid Security Responses iOS 16.5.1 (b), iPadOS 16.5.1 (b) και macOS 13.4.1 (b) θα είναι σύντομα διαθέσιμες για την αντιμετώπιση αυτού του ζητήματος.”
Η εταιρεία συμβουλεύει τους πελάτες που έχουν ήδη εφαρμόσει τις ενημερώσεις ασφαλείας με buggy να τις αφαιρέσουν εάν αντιμετωπίζουν προβλήματα κατά την περιήγηση στον ιστό.
Σε συσκευές iPhone ή iPad, μπορείτε να το κάνετε αυτό πατώντας «Κατάργηση απόκρισης ασφαλείας» και, στη συνέχεια, πατώντας «Κατάργηση» για επιβεβαίωση από τις Ρυθμίσεις > Πληροφορίες > Έκδοση iOS.
Οι χρήστες Mac μπορούν να καταργήσουν τις ενημερώσεις RSR ανοίγοντας το μενού και κάνοντας κλικ στην επιλογή Περισσότερες πληροφορίες στην ενότητα “Σχετικά με αυτό το Mac”. Μόλις φτάσετε εκεί, πρέπει να κάνετε κλικ στο κουμπί Πληροφορίες (i) δίπλα στον αριθμό έκδοσης στο macOS και, στη συνέχεια, να κάνετε κλικ στην επιλογή “Κατάργηση” και “Επανεκκίνηση”.
macOS 13.4.1 (α) ενημερωμένη έκδοση κώδικα RSR (BleepingComputer)
Το ελάττωμα zero-day (που παρακολουθείται ως CVE-2023-37450) εντοπίστηκε στη μηχανή προγράμματος περιήγησης WebKit της Apple και επιτρέπει στους εισβολείς να αποκτήσουν αυθαίρετη εκτέλεση κώδικα εξαπατώντας τους στόχους ώστε να ανοίξουν ιστοσελίδες που περιέχουν κακόβουλα δημιουργημένο περιεχόμενο.
«Η Apple γνωρίζει μια αναφορά ότι αυτό το ζήτημα μπορεί να έχει γίνει ενεργή εκμετάλλευση», ανέφερε η εταιρεία
iOS
και
macOS
συμβουλές που περιγράφουν την ευπάθεια CVE-2023-37450 που επιδιορθώθηκε στις χθεσινές ενημερώσεις ασφαλείας έκτακτης ανάγκης.
“Αυτή η ταχεία απόκριση ασφαλείας παρέχει σημαντικές διορθώσεις ασφαλείας και συνιστάται για όλους τους χρήστες”, προειδοποίησε η Apple τους πελάτες σε συσκευές που παραδόθηκαν οι ενημερώσεις κώδικα RSR.
Από την αρχή του έτους, η Apple επιδιορθώνει συνολικά δέκα ελαττώματα μηδενικής ημέρας που εκμεταλλεύτηκαν στην άγρια
φύση για να χακάρουν iPhone, Mac ή iPad.
Για παράδειγμα, νωρίτερα αυτόν τον μήνα, η Apple αντιμετώπισε τρεις ημέρες μηδέν (CVE-2023-32434, CVE-2023-32435 και CVE-2023-32439) που καταχράστηκαν σε επιθέσεις για την εγκατάσταση λογισμικού κατασκοπείας Triangulation σε iPhone μέσω των εκμεταλλεύσεων μηδενικού κλικ του iMessage.
Πριν από αυτό, η εταιρεία επιδιορθώθηκε επίσης:
-
Τρεις ακόμη μηδενικές ημέρες (CVE-2023-32409, CVE-2023-28204 και CVE-2023-32373) τον Μάιο, οι πρώτες που αναφέρθηκαν από ερευνητές του Εργαστηρίου Ασφαλείας της Διεθνούς Αμνηστίας και της Ομάδας Ανάλυσης απειλών της
Google
και πιθανότατα χρησιμοποιήθηκαν για την εγκατάσταση μισθοφόρου λογισμικού κατασκοπείας. - Δύο άλλες μηδενικές ημέρες (CVE-2023-28206 και CVE-2023-28205) τον Απρίλιο χρησιμοποιήθηκαν ως μέρος των αλυσίδων εκμετάλλευσης των σφαλμάτων Android, iOS και Chrome zero-day και n-day για την ανάπτυξη spyware σε συσκευές που ανήκουν σε high – στόχους κινδύνου.
- και ένα άλλο WebKit zero-day (CVE-2023-23529) τον Φεβρουάριο, το οποίο χρησιμοποιήθηκε για την απόκτηση εκτέλεσης κώδικα σε ευάλωτα iPhone, iPad και Mac.