Σάββατο, 20 Φεβρουαρίου, 20:25
Αρχική security Η γερμανική κυβέρνηση προτρέπει τους χρήστες του iOS να διορθώσουν τα κρίσιμα...

Η γερμανική κυβέρνηση προτρέπει τους χρήστες του iOS να διορθώσουν τα κρίσιμα ελαττώματα της εφαρμογής Mail

Η γερμανική ομοσπονδιακή υπηρεσία ασφάλειας στον κυβερνοχώρο προέτρεψε σήμερα τους χρήστες iOS να εγκαταστήσουν αμέσως τις ενημερώσεις ασφαλείας iOS και iPadOS που κυκλοφόρησε η Apple στις 20 Μαΐου για να επιδιορθώσουν δύο ευπάθειες ασφαλείας zero-click που έχουν αξιοποιηθεί ενεργά επηρεάζοντας την προεπιλεγμένη εφαρμογή email.

“Λόγω της κρίσιμης σημασίας των τρωτών σημείων, το BSI συνιστά την άμεση εγκατάσταση της αντίστοιχης ενημέρωσης ασφαλείας σε όλα τα επηρεαζόμενα συστήματα”, δήλωσε το BSI.

iOS

Η startup ZecOps αποκάλυψε τα σφάλματα αφού ανακάλυψε συνεχιζόμενες επιθέσεις που στοχεύουν χρήστες iOS από τουλάχιστον τον Ιανουάριο του 2018.

Οι δύο ευπάθειες zero-click είναι ένα ζήτημα κατανάλωσης μνήμης που αναφέρεται ως CVE-2020-9819 που μπορεί να οδηγήσει σε “heap corruption” και ένα ζήτημα “out-of-bounds write” που αναφέρεται ως CVE-2020-9818, το οποίο μπορεί να οδηγήσει σε απροσδόκητη τροποποίηση μνήμης ή τερματισμό εφαρμογής – και οι δύο ενεργοποιήθηκαν αφού η εφαρμογή Mail επεξεργάζεται ένα κακόβουλο μήνυμα αλληλογραφίας.

Τα ελαττώματα ασφαλείας του MailDemon αντιμετωπίστηκαν από την Apple με την κυκλοφορία των iOS 13.5 και iPadOS 13.5 που έρχονται με βελτιωμένο χειρισμό μνήμης και έλεγχο ορίων.

“Πιστεύουμε ότι αυτές οι επιθέσεις είναι συσχετισμένες με τουλάχιστον έναν φορέα απειλής έθνους-κράτους ή ένα έθνος-κράτος που αγόρασε την εκμετάλλευση από έναν τρίτο ερευνητή σε βαθμό Proof of Concept (POC) και χρησιμοποιήθηκε” ως έχει “ή με μικρές τροποποιήσεις, “είπε η ZecOps εκείνη τη στιγμή.

Ευτυχώς, οι επιθέσεις που ανέφερε η ZecOps κατευθύνονταν σε στόχους υψηλού προφίλ, πράγμα που σημαίνει ότι οι τακτικοί χρήστες δεν θα στοχεύονται άμεσα έως ότου οι εκμεταλλεύσεις για τα δύο σφάλματα πέσουν στα χέρια απειλητικών φορέων με λιγότερο φιλόδοξους στόχους.

Τα σφάλματα επηρεάζουν συσκευές που χρησιμοποιούν iOS 3.1.3 και νεότερες εκδόσεις

Σύμφωνα με τις σημειώσεις έκδοσης ασφαλείας του iOS 13.5, οι ευπάθειες που εντοπίστηκαν από την ZecOps επηρεάζουν το iPhone 6s και νεότερες έκδοσεις, το iPad Air 2 και μεταγενέστερες εκδόσεις, το iPad mini 4 και μεταγενέστερες έκδοσεις και το iPod touch 7ης γενιάς.

Με βάση την ανάλυση των δύο σφαλμάτων της ZecOps, όλες οι συσκευές που εκτελούν iOS 3.1.3 έως 13.4.1 εκτίθενται σε πιθανές επιθέσεις που θα καθιστούσαν δυνατή την εκτέλεση απομακρυσμένου κώδικα σε παραβιασμένες συσκευές iPhone και iPad και παρέχοντας πρόσβαση σε διαρροές, επεξεργασία και διαγραφή email.

Όπως μοιράστηκε ο ιδρυτής και διευθύνων σύμβουλος της ZecOps, “αυτές οι ευπάθειες υπήρχαν επίσης από το πρώτο iPhone (iPhone 1 / iPhone 2G) και τουλάχιστον από το iOS 3.1.3.”

Σε μια επίσημη δήλωση που κοινοποιήθηκε μετά την αποκάλυψη των ευρημάτων της ZecOps, η Apple αμφισβήτησε τους ισχυρισμούς των ερευνητών για συνεχιζόμενες επιθέσεις:

Η Apple λαμβάνει σοβαρά υπόψη όλες τις αναφορές απειλών ασφαλείας. Έχουμε διερευνήσει διεξοδικά την έκθεση του ερευνητή και, με βάση τις παρεχόμενες πληροφορίες, καταλήξαμε στο συμπέρασμα ότι αυτά τα ζητήματα δεν αποτελούν άμεσο κίνδυνο για τους χρήστες μας. Ο ερευνητής εντόπισε τρία ζητήματα στο Mail, αλλά μόνα τους δεν επαρκούν για να παρακάμψουν τις προστασίες ασφαλείας iPhone και iPad και δεν βρήκαμε στοιχεία που να χρησιμοποιήθηκαν εναντίον πελατών. Αυτά τα πιθανά ζητήματα θα αντιμετωπιστούν σύντομα σε μια ενημέρωση λογισμικού. Εκτιμούμε τη συνεργασία μας με ερευνητές ασφαλείας για να διατηρήσουμε τους χρήστες μας ασφαλείς και θα πιστώσουμε τον ερευνητή για τη βοήθειά του.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

Google Assistant: Πώς μπορείτε να διαγράψετε τις ηχογραφήσεις σας;

Το Google Assistant μπορεί να σας διευκολύνει πολύ στην καθημερινότητά σας. Ωστόσο, συνεπάγεται και κάποια ζητήματα ως προς το απόρρητο, καθώς όσα...

Microsoft: Office 2021 / Office LTSC έρχονται το δεύτερο εξάμηνο του 2021

Η Microsoft ανακοίνωσε ότι θα κυκλοφορήσει μέσα στο 2021 το Microsoft Office Long Term Servicing Channel (LTSC) και το Office 2021, για...

Πώς να δημιουργήσετε με γρήγορο τρόπο QR codes με το Bing

Αν χρειαστεί ποτέ να δημιουργήσετε έναν QR code, αλλά δεν ξέρετε πως, η Microsoft διαθέτει ένα εύχρηστο εργαλείο διαθέσιμο σε οποιοδήποτε πρόγραμμα...

Brave: Διέρρευσαν διευθύνσεις onion σε DNS traffic

Η λειτουργία Tor που περιλαμβάνεται στον Brave web browser, επιτρέπει στους χρήστες να έχουν πρόσβαση σε .onion dark web domains μέσα σε...

Ποιες είναι οι 6 πιο γνωστές επιθέσεις σε gaming εταιρείες;

Πριν μερικές ημέρες, η εταιρεία gaming Big Huge Games ενημέρωσε τους παίκτες ότι υπήρξε θύμα μιας επίθεσης, η οποία επηρέασε δεδομένα της...

Οι δωροκάρτες του Xbox πωλούνται με έκπτωση 10% στο Amazon

Οι κάτοχοι των Xbox μπορούν να εξοικονομήσουν λίγα χρήματα σε παιχνίδια, add-ons, συνδρομές και πολλά άλλα, αν ψωνίσουν τις δωροκάρτες Xbox στο...

Perseverance: Το διαστημικό όχημα της NASA προσεδαφίστηκε στον Άρη!

Το διαστημικό όχημα «Perseverance» προσεδαφίστηκε επιτυχώς χθες, λίγο πριν τις 11 το βράδυ ώρα Ελλάδος στον Άρη. Στόχος αυτής της αποστολής της...

YouTube: Μπορείτε να αναπαράγετε βίντεο 4K σε συσκευές με οθόνες χαμηλής ανάλυσης

Η εφαρμογή Youtube σε Android σας επιτρέπει να αναπαράγετε βίντεο με ανάλυση έως 4K. Το μόνο που χρειάζεστε είναι ένα τηλέφωνο με...

Top θέσεις Software Engineering και δεξιότητες coding για το 2021

Λόγω του COVID-19, οι προσπάθειες πρόσληψης και οι ευκαιρίες απασχόλησης σημείωσαν σημαντική πτώση πέρυσι. Ωστόσο, ο κλάδος της τεχνολογίας αποδείχθηκε πιο ανθεκτικός...
00:10:13

Phishing emails: Πώς να τα αναγνωρίσετε και πώς να προστατευτείτε;

https://www.youtube.com/watch?v=iME-CzlKVzc Το phishing είναι ίσως η μεγαλύτερη απειλή στον κυβερνοχώρο εδώ και περισσότερα από πέντε χρόνια. Γι΄...