Η Apple κυκλοφόρησε μια firmware ενημέρωση για τα AirPods, καθώς μια ευπάθεια στα Bluetooth θα μπορούσε να επιτρέψει σε έναν κακόβουλο παράγοντα να αποκτήσει πρόσβαση στα ακουστικά.
Παρακολούθηση ως CVE-2024-27867, το ζήτημα ελέγχου ταυτότητας επηρεάζει τα AirPods (2ης γενιάς και μεταγενέστερα), τα AirPods Pro (όλα τα μοντέλα), τα AirPods Max, το Powerbeats Pro και το Beats Fit Pro.
Διαβάστε επίσης: Botnet εκμεταλλεύεται ευπάθεια σε Zyxel NAS συσκευές
«Όταν τα ακουστικά σας αναζητούν σύνδεση με μία από τις συσκευές που έχει γίνει σύζευξη προηγουμένως, ένας hacker εντός της εμβέλειας Bluetooth μπορεί να πλαστογραφήσει την προβλεπόμενη συσκευή και να αποκτήσει πρόσβαση στα ακουστικά σας», προειδοποίησε η Apple σε συμβουλή της Τρίτης.
Με άλλα λόγια, ένας hacker σε κοντινή απόσταση θα μπορούσε να εκμεταλλευτεί αυτή την ευπάθεια για να κρυφακούσει ιδιωτικές συνομιλίες. Η Apple ανέφερε ότι το πρόβλημα έχει αντιμετωπιστεί με βελτιωμένη διαχείριση κατάστασης.
Ο Jonas Dreßler φαίνεται να ανακάλυψε και να ανέφερε το ελάττωμα. Το ζήτημα έχει επιδιορθωθεί με τις ενημερώσεις firmware AirPods 6A326, AirPods 6F8 και Beats 6F8.
Μετά την ανακοίνωση του κατασκευαστή του iPhone για ενημερώσεις στο visionOS (έκδοση 1.2), επιδιορθώνονται 21 σφάλματα, συμπεριλαμβανομένων επτά ελαττωμάτων στη μηχανή του WebKit browser.
Δείτε περισσότερα: Polyfill.io: Επίθεση επηρεάζει πάνω από 100.000 ιστότοπους
Ένα από τα ζητήματα αφορά ένα λογικό ελάττωμα (CVE-2024-27812) που θα μπορούσε να προκαλέσει επιθέσεις άρνησης παροχής υπηρεσιών (DoS) κατά την επεξεργασία του web περιεχομένου. Το πρόβλημα επιδιορθώθηκε με βελτιωμένο χειρισμό αρχείων, δήλωσε ο ερευνητής ασφαλείας Ryan Pickren. Ο Pickren, ο οποίος ανέφερε την ευπάθεια, το περιέγραψε ως το «πρώτο χωρικό υπολογιστικό hack στον κόσμο», ικανό να «παρακάμψει όλες τις προειδοποιήσεις και να γεμίσει με δύναμη τον χώρο σας με αυθαίρετο αριθμό κινούμενων αντικειμένων 3D» χωρίς την αλληλεπίδραση των χρηστών.
Η ευπάθεια εκμεταλλεύεται την αδυναμία της Apple, με σκοπό να εφαρμόσει το μοντέλο αδειών κατά τη χρήση της λειτουργίας ARKit Quick Look, ώστε να αναπαράγονται τρισδιάστατα αντικείμενα στον χώρο του θύματος. Επιπλέον, τα κινούμενα αντικείμενα παραμένουν ενεργά ακόμη και μετά την έξοδο από το Safari, καθώς διαχειρίζονται από μια ανεξάρτητη εφαρμογή.
Διαβάστε ακόμη: Νέα beta λειτουργία AirPods Pro βελτιστοποιεί την ακύρωση θορύβου
«Επίσης, δεν απαιτείται ο χρήστης να κάνει κλικ σε αυτή την ετικέτα», δήλωσε ο Pickren. «Η ενεργοποίηση μέσω προγραμματισμού σε JavaScript, όπως με τη χρήση του document.querySelector(‘a’).click(), δεν δημιουργεί κανένα πρόβλημα. Αυτό σημαίνει ότι μπορούμε να εκκινήσουμε έναν απεριόριστο αριθμό 3D αντικειμένων, κινούμενων σχεδίων και ηχητικών εφέ χωρίς καμία αλληλεπίδραση από τον χρήστη».
Πηγή: thehackernews
