Η Apple κυκλοφορεί ενημέρωση έκτακτης ανάγκης για να διορθώσει τη μηδενική ημέρα εκμετάλλευσης σε επιθέσεις
Η
Apple
εξέδωσε έναν νέο γύρο ενημερώσεων ταχείας απόκρισης ασφαλείας (RSR) για την αντιμετώπιση ενός νέου σφάλματος μηδενικής ημέρας που εκμεταλλεύεται σε επιθέσεις και επηρεάζει πλήρως επιδιορθωμένα
iPhone
, Mac και iPad.
«Η Apple γνωρίζει μια αναφορά ότι αυτό το ζήτημα μπορεί να έχει γίνει ενεργή εκμετάλλευση», αναφέρει η εταιρεία
iOS
και
macOS
συμβουλές κατά την περιγραφή της ευπάθειας CVE-2023-37450 που αναφέρθηκε από έναν ανώνυμο ερευνητή ασφάλειας.
“Αυτή η γρήγορη απόκριση ασφαλείας παρέχει σημαντικές διορθώσεις ασφαλείας και συνιστάται για όλους τους χρήστες”, προειδοποιεί η Apple σε συστήματα όπου παραδίδονται οι ενημερώσεις κώδικα RSR.
Οι ενημερώσεις κώδικα RSR έχουν εισαχθεί ως συμπαγείς ενημερώσεις που έχουν σχεδιαστεί για την αντιμετώπιση προβλημάτων ασφάλειας στις πλατφόρμες iPhone, iPad και Mac και εξυπηρετούν τον σκοπό της επίλυσης ζητημάτων ασφαλείας που προκύπτουν μεταξύ των μεγάλων ενημερώσεων λογισμικού, σύμφωνα με αυτό
έγγραφο υποστήριξης
.
Επιπλέον, ορισμένες ενημερώσεις ασφαλείας εκτός ζώνης ενδέχεται επίσης να χρησιμοποιηθούν για την αντιμετώπιση τρωτών σημείων ασφαλείας που αξιοποιούνται ενεργά σε επιθέσεις.
Εάν απενεργοποιήσετε τις αυτόματες ενημερώσεις ή δεν εγκαταστήσετε το Rapid Security Responses όταν προσφέρονται, η συσκευή σας θα διορθωθεί ως μέρος των μελλοντικών αναβαθμίσεων λογισμικού.
Η σημερινή λίστα των επιδιορθώσεων έκτακτης ανάγκης περιλαμβάνει:
- macOS Ventura 13.4.1 (α)
- iOS 16.5.1 (α)
- iPadOS 16.5.1 (α)
Το ελάττωμα εντοπίστηκε στη μηχανή προγράμματος περιήγησης WebKit που αναπτύχθηκε από την Apple και επιτρέπει στους εισβολείς να αποκτήσουν αυθαίρετη εκτέλεση κώδικα σε στοχευμένες συσκευές εξαπατώντας τους στόχους ώστε να ανοίξουν ιστοσελίδες που περιέχουν κακόβουλα δημιουργημένο περιεχόμενο.
Η εταιρεία αντιμετώπισε αυτήν την αδυναμία ασφάλειας με βελτιωμένους ελέγχους για τον μετριασμό των προσπαθειών εκμετάλλευσης.
macOS 13.4.1 (α) ενημερωμένη έκδοση κώδικα RSR (BleepingComputer)
Το δέκατο zero-day επιδιορθώθηκε το 2023
Από τις αρχές του 2023, η Apple έχει διορθώσει δέκα ελαττώματα μηδενικής ημέρας που εκμεταλλεύονται στην άγρια φύση για να χακάρουν iPhone, Mac ή iPad.
Νωρίτερα αυτό το μήνα, η Apple απηύθυνε χρήση τριών ημερών (CVE-2023-32434, CVE-2023-32435 και CVE-2023-32439) για την ανάπτυξη λογισμικού κατασκοπείας Triangulation σε iPhone μέσω των εκμεταλλεύσεων μηδενικού κλικ του
iMessage
.
Διόρθωσε επίσης τρεις ακόμη μηδενικές ημέρες (CVE-2023-32409, CVE-2023-28204 και CVE-2023-32373) τον Μάιο, οι πρώτες που αναφέρθηκαν από ερευνητές της Διεθνούς Αμνηστίας Ασφαλείας Lab και της
Google
Threat Analysis Group και πιθανότατα χρησιμοποιήθηκαν για την εγκατάσταση μισθοφόρο spyware.
Τον Απρίλιο, η Apple διόρθωσε δύο άλλες μηδενικές ημέρες (CVE-2023-28206 και CVE-2023-28205) που χρησιμοποιούνται ως μέρος των αλυσίδων εκμετάλλευσης των Android, iOS και Chrome ελαττώματα zero-day και n-day για την ανάπτυξη spyware σε συσκευές που ανήκουν σε στόχους υψηλού κινδύνου.
Τον Φεβρουάριο, η Apple επιδιορθώνει ένα άλλο WebKit zero-day (CVE-2023-23529) που το εκμεταλλεύτηκε για να κερδίσει την εκτέλεση κώδικα σε ευάλωτα iPhone, iPad και Mac.
