Η Apple κυκλοφόρησε κάποιες ενημερώσεις ασφαλείας για να διορθώσει μια ευπάθεια zero-day την οποία εκμεταλλεύονται ενεργά οι χάκερ για να εισβάλλουν σε iPhone και Mac που χρησιμοποιούν παλαιότερες εκδόσεις iOS και macOS.
Το zero-day που διορθώθηκε σήμερα (αναφέρεται ως CVE-2021-30869) βρέθηκε στον πυρήνα του λειτουργικού συστήματος XNU και αναφέρθηκε από τους Erye Hernandez και Clément Lecigne της Google Threat Analysis Group και Ian Beer του Google Project Zero.
Δείτε επίσης: VMware: Κρίσιμο bug στα προεπιλεγμένα installs του Server vCenter
Το επιτυχές exploitation αυτού του σφάλματος οδηγεί σε αυθαίρετη εκτέλεση κώδικα με δικαιώματα kernel σε παραβιασμένες συσκευές.
“Η Apple γνωρίζει μια αναφορά ότι αυτό το ζήτημα μπορεί να έχει χρησιμοποιηθεί ενεργά”, είπε η Apple περιγράφοντας το σφάλμα zero-day.
Ο πλήρης κατάλογος των συσκευών που επηρεάζονται περιλαμβάνει:
- iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 και iPod touch (6ης γενιάς) με iOS 12.5.5
- και Mac με ενημέρωση ασφαλείας 2021-006 Catalina.
Η Apple έκανε και backporting σε ενημερώσεις ασφαλείας για δύο zero-day ευπάθειες που είχαν προηγουμένως επιδιορθωθεί, μία από τις οποίες αναφέρθηκε από το The Citizen Lab και χρησιμοποιήθηκε για την ανάπτυξη NSO Pegasus spyware σε παραβιασμένες συσκευές.
Δείτε επίσης: Microsoft Exchange Autodiscover: Bugs διαρρέουν Windows credentials
Εκτός από το σημερινό zero-day σφάλμα, η Apple έπρεπε να αντιμετωπίσει μια ατελείωτη ροή σφαλμάτων zero-day που χρησιμοποιούνται σε επιθέσεις που στοχεύουν σε συσκευές iOS και macOS:
- δύο ευπάθειες zero-days νωρίτερα αυτόν τον μήνα, μία από αυτές χρησιμοποιήθηκε επίσης για την εγκατάσταση του spyware Pegasus σε iPhone,
- το exploit FORCEDENTRY που αποκαλύφθηκε τον Αύγουστο,
- τρία zero-day iOS (CVE-2021-1870, CVE-2021-1871, CVE-2021-1872) τον Φεβρουάριο, που χρησιμοποιήθηκε ενεργά,
- ένα zero-day iOS (CVE-2021-1879) τον Μάρτιο που μπορεί επίσης να έχει χρησιμοποιηθεί ενεργά,
- ένα zero-day στο iOS (CVE-2021-30661) και ένα στο macOS (CVE-2021-30657) τον Απρίλιο, εκμεταλλευόμενη από κακόβουλο λογισμικό Shlayer,
- τρία άλλα zero-day iOS (CVE-2021-30663, CVE-2021-30665 και CVE-2021-30666) τον Μάιο, σφάλματα που επιτρέπουν την αυθαίρετη εκτέλεση απομακρυσμένου κώδικα (RCE) απλά με επίσκεψη σε κακόβουλους ιστότοπους,
- ένα macOS zero-day(CVE-2021-30713) τον Μάιο,
- δύο σφάλματα zero-day iOS (CVE-2021-30761 και CVE-2021-30762) τον Ιούνιο που “μπορεί να έχουν χρησιμοποιηθεί ενεργά” για να χακάρουν παλαιότερες συσκευές iPhone, iPad και iPod.
Δείτε επίσης: iOS 15 bug: Δεν λειτουργεί ο ήχος στα Instagram Stories
Πηγή πληροφοριών: bleepingcomputer.com
