Η Apple κυκλοφόρησε κάποιες έκτακτες ενημερώσεις ασφαλείας για δύο zero-day ευπάθειες που χρησιμοποιήθηκαν ενεργά σε επιθέσεις εναντίον παλαιότερων iPhones και ορισμένων μοντέλων Apple Watch και Apple TV.

Η Apple γνωρίζει ότι αυτό το ζήτημα μπορεί να έχει γίνει αντικείμενο εκμετάλλευσης σε εκδόσεις του iOS πριν από το iOS 16.7.1“, ανέφερε η εταιρεία.

Οι δύο ευπάθειες, CVE-2023-42916 και CVE-2023-42917, βρέθηκαν στο WebKit browser engine, που αναπτύχθηκε από την Apple και χρησιμοποιείται από το πρόγραμμα περιήγησης ιστού Safari της εταιρείας (σε όλες τις πλατφόρμες, συμπεριλαμβανομένων των macOS, iOS, iPadOS).

Δείτε επίσης: Η Google διορθώνει νέα zero-day ευπάθεια στον Chrome

Μπορούν να επιτρέψουν στους εισβολείς να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα και να εκτελέσουν κώδικα χρησιμοποιώντας ειδικές ιστοσελίδες που έχουν σχεδιαστεί για να εκμεταλλεύονται out-of-bounds και memory corruption bugs σε μη ενημερωμένες συσκευές.

Η Apple αντιμετώπισε τις zero-day ευπάθειες που επηρεάζουν παλαιότερα iPhones και άλλες συσκευές, κυκλοφορώντας τις εκδόσεις iOS 16.7.3, iPadOS 16.7.3, tvOS 17.2 και watchOS 10.2.

Η εταιρεία λέει ότι τα σφάλματα διορθώθηκαν και στην ακόλουθη λίστα συσκευών:

  • iPhone 8 και μεταγενέστερα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και μεταγενέστερα, iPad 5ης γενιάς και μεταγενέστερα, και iPad mini 5ης γενιάς και μεταγενέστερα μοντέλα
  • Apple TV HD και Apple TV 4K (όλα τα μοντέλα)
  • Apple Watch Series 4 και νεότερη έκδοση

Οι ευπάθειες ανακαλύφθηκαν και αναφέρθηκαν από τον Clément Lecigne, έναν ερευνητή ασφάλειας από την Ομάδα Ανάλυσης Απειλών (TAG) της Google.

Η Apple δεν έχει δώσει λεπτομέρειες σχετικά με την εκμετάλλευση των ευπαθειών και το είδος των επιθέσεων.

Δείτε επίσης: Apple: Διορθώνει zero-day bug που επιτρέπει παραβίαση iPhone, iPad και Mac

Από την αρχή του έτους, η Apple έχει διορθώσει 20 zero-day ευπάθειες που έχουν χρησιμοποιηθεί σε επιθέσεις:

  • δύο zero-days (CVE-2023-42916 και CVE-2023-42917) τον Νοέμβριο
  • δύο zero-days (CVE-2023-42824 και CVE-2023-5217) τον Οκτώβριο
  • πέντε zero-days (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 και CVE-2023-41993) τον Σεπτέμβριο
  • δύο zero-days (CVE-2023-37450 και CVE-2023-38606) τον Ιούλιο
  • τρεις zero-days (CVE-2023-32434, CVE-2023-32435 και CVE-2023-32439) τον Ιούνιο
  • τρεις zero-days (CVE-2023-32409, CVE-2023-28204 και CVE-2023-32373) τον Μάιο
  • δύο zero-days (CVE-2023-28206 και CVE-2023-28205) τον Απρίλιο
  • και ένα άλλο WebKit zero-day (CVE-2023-23529) τον Φεβρουάριο

Οι zero-day ευπάθειες μπορούν να έχουν σοβαρές επιπτώσεις στους χρήστες iPhone, iPad και Mac. Οι κακόβουλοι χρήστες μπορούν να εκμεταλλευτούν αυτές τις ευπάθειες για να αποκτήσουν πρόσβαση στις συσκευές των χρηστών και να προκαλέσουν ζημιές. Αυτό μπορεί να οδηγήσει σε απώλεια προσωπικών δεδομένων, όπως κωδικοί πρόσβασης, πληροφορίες πιστωτικών καρτών και προσωπικές επαφές.

Επιπλέον, οι ευπάθειες αυτές μπορούν να χρησιμοποιηθούν για την εγκατάσταση κακόβουλου λογισμικού στις συσκευές των χρηστών. Αυτό μπορεί να οδηγήσει σε παρακολούθηση των δραστηριοτήτων των χρηστών, κλοπή προσωπικών πληροφοριών και απώλεια της ιδιωτικότητας.

Δείτε επίσης: Pwn2Own Toronto: Πάνω από 1 εκατομμύριο δολάρια για 58 zero-day

Οι ευπάθειες μπορούν να επηρεάσουν και την απόδοση των συσκευών των χρηστών. Οι επιθέσεις που τις εκμεταλλεύονται μπορεί να καταναλώνουν πόρους της συσκευής, όπως η μπαταρία και ο επεξεργαστής, προκαλώντας αργή απόκριση και κατάρρευση εφαρμογών.

Τέλος, οι ευπάθειες μπορούν να δημιουργήσουν ανασφάλεια και ανησυχία στους χρήστες του iOS. Όταν ανακοινώνονται ευπάθειες, οι χρήστες ανησυχούν για την ασφάλεια των συσκευών τους και την προστασία των προσωπικών τους δεδομένων. Αυτό μπορεί να επηρεάσει την εμπιστοσύνη των χρηστών στην Apple και την εταιρική της εικόνα.

Πηγή: www.bleepingcomputer.com