Η Apple κυκλοφόρησε ενημερώσεις ασφαλείας (backporting) για τη διόρθωση μιας zero-day ευπάθειας που επηρεάζει παλαιότερα iPhone και iPad. Η ευπάθεια εντοπίζεται στο WebKit και επιτρέπει σε επιτιθέμενους να εκτελούν κώδικα απομακρυσμένα σε μη ενημερωμένες συσκευές.
Αυτή η zero-day ευπάθεια είναι η ίδια που διόρθωσε η Apple για συσκευές macOS Monterey και iPhone/iPad στις 17 Αυγούστου και για το Safari στις 18 Αυγούστου. Γι’ αυτό οι τωρινές ενημερώσεις της Apple για τα παλιότερα iPhone ανήκουν στην κατηγορία του “backporting patch”.
Δείτε επίσης: Apple Watch: Θα έρθει με μεγαλύτερη διάρκεια ζωής της μπαταρίας;
Η ευπάθεια παρακολουθείται ως CVE-2022-3289 και είναι μια “out-of-bounds write ευπάθεια” στο WebKit, το web browser engine που χρησιμοποιείται από το Safari και άλλες εφαρμογές για πρόσβαση στον ιστό.
Όπως είπαμε και παραπάνω, εάν κάποιος εκμεταλλευτεί το zero-day σφάλμα, μπορεί να εκτελέσει κώδικα εξ αποστάσεως, εξαπατώντας τους στόχους τους και κάνοντας τους να επισκεφτούν έναν κακόβουλα κατασκευασμένο ιστότοπο υπό τον έλεγχό τους.
Στο security advisory που δημοσιεύτηκε χθες, η Apple είπε ότι υπάρχουν αναφορές που υποστηρίζουν ότι μπορεί να γίνεται “ενεργή εκμετάλλευση” της ευπάθειας.
Οι νέες ενημερώσεις ασφαλείας διορθώνουν το ζήτημα στις παρακάτω συσκευές: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 και iPod touch (6ης γενιάς), όλες όσες τρέχουν iOS 12.5.6.
Δείτε επίσης: Google, Apple, Meta, Twitter: Ποια συλλέγει τα λιγότερα user data;
Apple: Ενημερώστε τα παλιά σας iPhone για να παραμείνετε ασφαλείς
Παρόλο που η Apple είπε ότι μπορεί να γίνεται ενεργή εκμετάλλευση, δεν έχει ακόμη δημοσιεύσει πληροφορίες σχετικά με αυτές τις επιθέσεις. Προφανώς, η εταιρεία δεν ήθελε να αποκαλύψει ακόμα τέτοιες λεπτομέρειες για να δώσει χρόνο στους χρήστες
και να επιτρέψει σε όσο το δυνατόν περισσότερους να εφαρμόσουν τις ενημερώσεις ασφαλείας προτού αρχίσουν να εκμεταλλεύονται την ευπάθεια και άλλοι εγκληματίες του κυβερνοχώρου, στοχεύοντας ευάλωτα iPhone και iPad.Παρόλο που αυτή η ευπάθεια zero-day πιθανότατα χρησιμοποιήθηκε μόνο σε στοχευμένες επιθέσεις, συνιστάται άμεση εγκατάσταση των νέων ενημερώσεων για να αποκλειστούν πιθανές απόπειρες επίθεσης.
Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) πρόσθεσε επίσης αυτό το σφάλμα στον κατάλογο με τα σφάλματα που χρησιμοποιούνται σε επιθέσεις, στις 19 Αυγούστου.
Δείτε επίσης: Η ετήσια συνδρομή AppleCare+ για Mac έρχεται σε 3 ακόμη χώρες
Αξίζει να σημειωθεί ότι από την αρχή του έτους η Apple έχει διορθώσει αρκετά zero-day bugs:
Τον Ιανουάριο, η Apple διόρθωσε δύο τέτοιες ευπάθειες που επέτρεψαν την εκτέλεση κώδικα με δικαιώματα kernel και την παρακολούθηση της δραστηριότητας περιήγησης στον ιστό (CVE-2022-22587 και CVE-2022-22594 αντίστοιχα).
Τον Φεβρουάριο, η εταιρεία κυκλοφόρησε ενημερώσεις ασφαλείας για να διορθώσει ένα άλλο σφάλμα zero-day του WebKit που αξιοποιήθηκε σε επιθέσεις κατά iPhone, iPad και Mac.
Τον Μάρτιο, η Apple διόρθωσε δύο σφάλματα zero-day στο Intel Graphics Driver (CVE-2022-22674) και το AppleAVD (CVE-2022-22675).
Πηγή: www.bleepingcomputer.com