Η
Apple
κυκλοφόρησε ενημερώσεις ασφαλείας έκτακτης ανάγκης για να διορθώσει δύο τρωτά σημεία μηδενικής ημέρας που εκμεταλλεύονται σε επιθέσεις και επηρεάζουν συσκευές iPhone,
iPad
και Mac, φτάνοντας τις 20 μηδενικές ημέρες διορθωμένα από την αρχή του έτους.
“Η Apple γνωρίζει μια αναφορά ότι αυτό το ζήτημα μπορεί να έχει γίνει αντικείμενο εκμετάλλευσης σε εκδόσεις του iOS πριν από το iOS 16.7.1.”
είπε η εταιρεία
σε γνωμοδότηση που εκδόθηκε την Τετάρτη.
Τα δύο σφάλματα εντοπίστηκαν στη μηχανή του προγράμματος περιήγησης WebKit (CVE-2023-42916 και CVE-2023-42917), επιτρέποντας στους εισβολείς να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες μέσω μιας αδυναμίας ανάγνωσης εκτός ορίων και να αποκτήσουν αυθαίρετη εκτέλεση κώδικα μέσω καταστροφής μνήμης σφάλμα σε ευάλωτες συσκευές μέσω ιστοσελίδων που έχουν δημιουργηθεί κακόβουλα.
Η εταιρεία λέει ότι αντιμετώπισε τα ελαττώματα ασφαλείας για συσκευές που λειτουργούν
iOS 17.1.2, iPadOS 17.1.2
,
macOS Sonoma 14.1.2
και
Safari 17.1.2
με βελτιωμένη επικύρωση εισόδου και κλείδωμα.
Η λίστα των επηρεαζόμενων συσκευών Apple είναι αρκετά εκτενής και περιλαμβάνει:
- iPhone XS και μεταγενέστερα
-
iPad Pro
12,9 ιντσών 2ης γενιάς και μεταγενέστερα, iPad Pro 10,5 ιντσών, iPad Pro 11 ιντσών 1ης γενιάς και μεταγενέστερα, iPad Air 3ης γενιάς και μεταγενέστερα, iPad 6ης γενιάς και μεταγενέστερα, και iPad mini 5ης γενιάς και μεταγενέστερα - Mac που τρέχουν macOS Monterey, Ventura, Sonoma
Ο ερευνητής ασφαλείας Clément Lecigne της Ομάδας Ανάλυσης απειλών (TAG) της
Google
βρήκε και ανέφερε και τις δύο ημέρες μηδέν.
Ενώ η Apple δεν έχει δημοσιεύσει πληροφορίες σχετικά με τη συνεχιζόμενη εκμετάλλευση στη φύση, οι ερευνητές της Google TAG έχουν συχνά βρει και αποκαλύπτουν μηδενικές ημέρες που χρησιμοποιούνται σε κρατικές επιθέσεις spyware εναντίον ατόμων υψηλού κινδύνου, όπως δημοσιογράφους, πολιτικούς της αντιπολίτευσης και αντιφρονούντες.
20 μηδενικές ημέρες εκμετάλλευσης στη φύση το 2023
Τα CVE-2023-42916 και CVE-2023-42917 είναι οι ευπάθειες της 19ης και 20ης μηδενικής ημέρας που αξιοποιήθηκαν σε επιθέσεις που διόρθωσε η Apple φέτος.
Το Google TAG αποκάλυψε ένα άλλο σφάλμα μηδενικής ημέρας (CVE-2023-42824) στον πυρήνα XNU, επιτρέποντας στους εισβολείς να κλιμακώσουν τα προνόμια σε ευάλωτα iPhone και iPad.
Η Apple επιδιόρθωσε πρόσφατα τρία ακόμη σφάλματα zero-day (CVE-2023-41991, CVE-2023-41992 και CVE-2023-41993) που αναφέρθηκαν από ερευνητές του Citizen Lab και της Google TAG και τα οποία εκμεταλλεύτηκαν παράγοντες απειλών για την ανάπτυξη λογισμικού κατασκοπείας
Predator
.
Το Citizen Lab αποκάλυψε δύο άλλες μηδενικές ημέρες (CVE-2023-41061 και CVE-2023-41064), που διορθώθηκαν από την Apple τον Σεπτέμβριο και χρησιμοποιήθηκαν ως μέρος μιας αλυσίδας εκμετάλλευσης μηδενικού κλικ (με την ονομασία BLASTPASS) για την εγκατάσταση του λογισμικού κατασκοπείας Pegasus της ομάδας NSO.
Από την αρχή του έτους, η Apple έχει επίσης διορθώσει:
VIA:
bleepingcomputer.com
