Τρίτη, 27 Οκτωβρίου, 19:41
Αρχική security Η γερμανική κυβέρνηση προτρέπει τους χρήστες του iOS να διορθώσουν τα κρίσιμα...

Η γερμανική κυβέρνηση προτρέπει τους χρήστες του iOS να διορθώσουν τα κρίσιμα ελαττώματα της εφαρμογής Mail

Η γερμανική ομοσπονδιακή υπηρεσία ασφάλειας στον κυβερνοχώρο προέτρεψε σήμερα τους χρήστες iOS να εγκαταστήσουν αμέσως τις ενημερώσεις ασφαλείας iOS και iPadOS που κυκλοφόρησε η Apple στις 20 Μαΐου για να επιδιορθώσουν δύο ευπάθειες ασφαλείας zero-click που έχουν αξιοποιηθεί ενεργά επηρεάζοντας την προεπιλεγμένη εφαρμογή email.

“Λόγω της κρίσιμης σημασίας των τρωτών σημείων, το BSI συνιστά την άμεση εγκατάσταση της αντίστοιχης ενημέρωσης ασφαλείας σε όλα τα επηρεαζόμενα συστήματα”, δήλωσε το BSI.

iOS

Η startup ZecOps αποκάλυψε τα σφάλματα αφού ανακάλυψε συνεχιζόμενες επιθέσεις που στοχεύουν χρήστες iOS από τουλάχιστον τον Ιανουάριο του 2018.

Οι δύο ευπάθειες zero-click είναι ένα ζήτημα κατανάλωσης μνήμης που αναφέρεται ως CVE-2020-9819 που μπορεί να οδηγήσει σε “heap corruption” και ένα ζήτημα “out-of-bounds write” που αναφέρεται ως CVE-2020-9818, το οποίο μπορεί να οδηγήσει σε απροσδόκητη τροποποίηση μνήμης ή τερματισμό εφαρμογής – και οι δύο ενεργοποιήθηκαν αφού η εφαρμογή Mail επεξεργάζεται ένα κακόβουλο μήνυμα αλληλογραφίας.

Τα ελαττώματα ασφαλείας του MailDemon αντιμετωπίστηκαν από την Apple με την κυκλοφορία των iOS 13.5 και iPadOS 13.5 που έρχονται με βελτιωμένο χειρισμό μνήμης και έλεγχο ορίων.

“Πιστεύουμε ότι αυτές οι επιθέσεις είναι συσχετισμένες με τουλάχιστον έναν φορέα απειλής έθνους-κράτους ή ένα έθνος-κράτος που αγόρασε την εκμετάλλευση από έναν τρίτο ερευνητή σε βαθμό Proof of Concept (POC) και χρησιμοποιήθηκε” ως έχει “ή με μικρές τροποποιήσεις, “είπε η ZecOps εκείνη τη στιγμή.

Ευτυχώς, οι επιθέσεις που ανέφερε η ZecOps κατευθύνονταν σε στόχους υψηλού προφίλ, πράγμα που σημαίνει ότι οι τακτικοί χρήστες δεν θα στοχεύονται άμεσα έως ότου οι εκμεταλλεύσεις για τα δύο σφάλματα πέσουν στα χέρια απειλητικών φορέων με λιγότερο φιλόδοξους στόχους.

Τα σφάλματα επηρεάζουν συσκευές που χρησιμοποιούν iOS 3.1.3 και νεότερες εκδόσεις

Σύμφωνα με τις σημειώσεις έκδοσης ασφαλείας του iOS 13.5, οι ευπάθειες που εντοπίστηκαν από την ZecOps επηρεάζουν το iPhone 6s και νεότερες έκδοσεις, το iPad Air 2 και μεταγενέστερες εκδόσεις, το iPad mini 4 και μεταγενέστερες έκδοσεις και το iPod touch 7ης γενιάς.

Με βάση την ανάλυση των δύο σφαλμάτων της ZecOps, όλες οι συσκευές που εκτελούν iOS 3.1.3 έως 13.4.1 εκτίθενται σε πιθανές επιθέσεις που θα καθιστούσαν δυνατή την εκτέλεση απομακρυσμένου κώδικα σε παραβιασμένες συσκευές iPhone και iPad και παρέχοντας πρόσβαση σε διαρροές, επεξεργασία και διαγραφή email.

Όπως μοιράστηκε ο ιδρυτής και διευθύνων σύμβουλος της ZecOps, “αυτές οι ευπάθειες υπήρχαν επίσης από το πρώτο iPhone (iPhone 1 / iPhone 2G) και τουλάχιστον από το iOS 3.1.3.”

Σε μια επίσημη δήλωση που κοινοποιήθηκε μετά την αποκάλυψη των ευρημάτων της ZecOps, η Apple αμφισβήτησε τους ισχυρισμούς των ερευνητών για συνεχιζόμενες επιθέσεις:

Η Apple λαμβάνει σοβαρά υπόψη όλες τις αναφορές απειλών ασφαλείας. Έχουμε διερευνήσει διεξοδικά την έκθεση του ερευνητή και, με βάση τις παρεχόμενες πληροφορίες, καταλήξαμε στο συμπέρασμα ότι αυτά τα ζητήματα δεν αποτελούν άμεσο κίνδυνο για τους χρήστες μας. Ο ερευνητής εντόπισε τρία ζητήματα στο Mail, αλλά μόνα τους δεν επαρκούν για να παρακάμψουν τις προστασίες ασφαλείας iPhone και iPad και δεν βρήκαμε στοιχεία που να χρησιμοποιήθηκαν εναντίον πελατών. Αυτά τα πιθανά ζητήματα θα αντιμετωπιστούν σύντομα σε μια ενημέρωση λογισμικού. Εκτιμούμε τη συνεργασία μας με ερευνητές ασφαλείας για να διατηρήσουμε τους χρήστες μας ασφαλείς και θα πιστώσουμε τον ερευνητή για τη βοήθειά του.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

00:01:47

Data breach σε δικηγορική εταιρεία εκθέτει στοιχεία υπαλλήλων της Google

Η δικηγορική εταιρεία μετανάστευσης Fragomen, Del Rey, Bernsen & Loewy, LLP αποκάλυψε ότι υπέστη data breach που οδήγησε στη διαρροή προσωπικών στοιχείων...

Πως να εγκαταστήσετε ένα αρχείο .watchface στο Apple Watch

Το Apple Watch σάς επιτρέπει να προσαρμόζετε τα faces του ρολογιού ώστε να εμφανίζονται όλα τα είδη των χρήσιμων πληροφοριών. Αλλά ξέρατε...

Οι πέντε μεγαλύτερες παραβιάσεις δεδομένων του 21ου αιώνα

Τα δεδομένα γίνονται όλο και πιο περιζήτητα όσο η καθημερινότητά μας ψηφιοποιείται περισσότερο. Οι τεχνολογικοί γίγαντες που μονοπωλούν τα δεδομένα είναι οι...

Η Microsoft περιορίζει τη διαθεσιμότητα των Windows 10 20H2

Η Microsoft αυτή τη στιγμή περιορίζει τη διαθεσιμότητα των Windows 10 20H2 για να παρέχει σε όλους τους χρήστες που θέλουν να...

Πως να ενεργοποιήσετε τη νέα μυστική λειτουργία Read more του Chrome

Η τελευταία έκδοση του προγράμματος περιήγησης Google Chrome, v86, που κυκλοφόρησε νωρίτερα αυτό το μήνα, περιέχει ένα μυστικό χαρακτηριστικό που ονομάζεται Read...

Πως να επιλέξετε ένα προσαρμοσμένο χρώμα για το Start menu

Ξεκινώντας από την ενημέρωση του Οκτωβρίου 2020, τα Windows 10 είναι προεπιλεγμένα σε ένα θέμα που αφαιρεί τα έντονα χρώματα από τη...

Το τηλεσκόπιο της NASA ανακαλύπτει πόσιμο νερό στο φεγγάρι

Πριν από έντεκα χρόνια, ένα διαστημικό σκάφους άλλαξε την άποψη μας για το φεγγάρι για πάντα. Τα δεδομένα που συλλέχθηκαν από τους...

Microsoft: Ενισχύει τις δυνατότητες ανίχνευσης password spray επιθέσεων

Η Microsoft έχει βελτιώσει σημαντικά τις δυνατότητες ανίχνευσης password spray επιθέσεων στο Azure Active Directory (Azure AD) και έχει φτάσει στο σημείο...

Πώς θα αποτρέψουμε τις εταιρείες να βρίσκουν τον αριθμό τηλεφώνου μας

Την εποχή της διαφήμισης, όσο περισσότερες πληροφορίες για τους χρήστες είναι γνωστές τόσο πιο βολικό είναι για τις εταιρείες. Και ειδικότερα, οι...

Παραβίαση σε κλινική ψυχοθεραπείας οδήγησε σε εκβιασμούς ασθενών

Πριν δύο χρόνια, έλαβε χώρα μια κυβερνοεπίθεση σε μια φινλανδική κλινική ψυχοθεραπείας, η οποία κατέληξε σε κλοπή δεδομένων και απαίτηση λύτρων. Τώρα,...