Η Apple κυκλοφόρησε ενημερώσεις ασφαλείας για να επιδιορθώσει το ευρέως εκμεταλλεύσιμο σφάλμα WebKit zero-day σε παλαιότερα iPhone και iPad, το οποίο είχε ανακαλυφθεί τον περασμένο μήνα.

Δείτε επίσης: 2022: Zero-day ευπάθειες σε προϊόντα Microsoft, Google και Apple χρησιμοποιήθηκαν για πολλές επιθέσεις

Στις 13 Φεβρουαρίου 2023, η εταιρεία διόρθωσε ένα σφάλμα τύπου WebKit που αναφέρεται ως CVE-2023-23529 σε νεότερα μοντέλα iPhone και iPad.

Οι επιτιθέμενοι έχουν την ικανότητα να εκμεταλλεύονται συσκευές iOS και iPadOS, προκαλώντας συντριβές του λειτουργικού συστήματος και επιτρέποντάς τους πρόσβαση σε εκτέλεση κώδικα μετά τη διείσδυση.

Εξαπατώντας τα θύματα ώστε να αποκτήσουν πρόσβαση σε κακόβουλους ιστότοπους, οι επιτιθέμενοι μπορούν στη συνέχεια να εκκινήσουν αυθαίρετο κώδικα σε iPhones ή iPads που εκτελούν Safari 16.3.1 και τροφοδοτούνται από macOS Big Sur και Monterey – ένας τεράστιος κίνδυνος για την ασφάλεια!

Η επεξεργασία κακόβουλα δημιουργημένου περιεχομένου ιστού μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα. Η Apple γνωρίζει ότι αυτό το ζήτημα μπορεί να έχει εκμεταλλευτεί ενεργά“, περιγράφει η Apple το zero-day.

Η Apple αντέδρασε άμεσα στο zero-day στο iOS 15.7.4 και στο iPadOS 15.7.4 με αυξημένα μέτρα ασφαλείας, παρέχοντας μεγαλύτερη ασφάλεια για τους χρήστες στο μέλλον.

Δείτε ακόμα: Οι zero-day επιθέσεις Fortinet συνδέονται με Κινέζους χάκερ

Μία σειρά συσκευών της Apple, συμπεριλαμβανομένων των iPhone 6s, 7 και SE (1ης γενιάς), iPad Air 2, iPad mini 4ης γενιάς και iPod touch 7ης γενιάς, έχουν επηρεαστεί από το σφάλμα.

Παρόλο που η Apple έχει λάβει αναφορές ότι η ευπάθεια έχει γίνει αντικείμενο εκμετάλλευσης σε επιθέσεις, δεν έχει ακόμη δημοσιεύσει λεπτομέρειες σχετικά με αυτά τα περιστατικά. Ωστόσο, αυτή είναι η συνήθης πρακτική της εταιρείας όταν αποκαλύπτει διορθώσεις ασφαλείας για ευπάθειες που ήδη χρησιμοποιούνται ενεργά.

Με τον περιορισμό της πρόσβασης σε τεχνικές πληροφορίες, όχι μόνο περισσότεροι χρήστες μπορούν να διατηρήσουν τις συσκευές τους ασφαλείς, αλλά και να φρενάρουν τους επιτιθέμενους που προσπαθούν να δημιουργήσουν και να χρησιμοποιήσουν νέα exploits σε ευάλωτα εργαλεία.

Παρά το γεγονός ότι το CVE-2023-23529 zero-day πιθανότατα χρησιμοποιείται για συγκεκριμένους στόχους, συνιστάται η άμεση εγκατάσταση των τρεχουσών ενημερώσεων ασφαλείας, προκειμένου να αποφευχθούν πιθανές απειλές εναντίον όσων χρησιμοποιούν ξεπερασμένο λογισμικό σε συσκευές iPhone και iPad.

Δείτε επίσης: WaveOne: Η Apple εξαγόρασε την startup για να ενισχύει την τεχνολογία AI

Τον Ιανουάριο, η Apple συνέταξε διορθώσεις για μια ευπάθεια zero-day (που ανακαλύφθηκε από τον Clément Lecigne της Ομάδας Ανάλυσης Απειλών της Google) και τις ανέπτυξε σε μια σειρά παλαιότερων μοντέλων iPhone και iPad.