Η Apple κυκλοφόρησε μια κρίσιμη ενημέρωση ασφαλείας για να αποτρέψει την εκμετάλλευση μιας νέας ευπάθειας zero-day και τη χρήση της σε κακόβουλες επιθέσεις, οι οποίες θα μπορούσαν να οδηγήσουν σε παραβίαση iPhone, iPad και Mac.
Η zero-day ευπάθεια (CVE-2023-23529) είναι ένα πρόβλημα “WebKit confusion” που μπορεί να οδηγήσει σε προβλήματα στο λειτουργικό σύστημα (crashes) και ενδεχομένως να επιτρέψει την εκτέλεση κώδικα στα επηρεαζόμενα συστήματα.
Δείτε επίσης: AmerisourceBergen: Φαρμακευτικός κολοσσός έπεσε θύμα hacking
Ζero-day ονομάζεται συνήθως μιας ευπάθεια που δεν έχει ανακαλυφθεί και δεν έχει επιδιορθωθεί ακόμη από τον προμηθευτή του λογισμικού – αντίθετα, οι χάκερ τη βρίσκουν πρώτοι και την εκμεταλλεύονται πριν από τη διαθεσιμότητα της επιδιόρθωσης. Αυτό καθιστά τα σφάλματα zero-day απίστευτα επικίνδυνα.
Εκμεταλλευόμενοι τη zero-day ευπάθεια, οι κακόβουλοι φορείς μπορούν να εκτελέσουν κώδικα σε συσκευές Apple που εκτελούν ευάλωτες εκδόσεις iOS, iPadOS και macOS. Αυτό είναι εφικτό με το άνοιγμα μιας κακόβουλης ιστοσελίδας. Επίσης, το zero-day σφάλμα επηρεάζει ακόμη και τον Safari 16.3.1 που χρησιμοποιείται τόσο στο macOS Big Sur όσο και στο Monterey!
“Η επεξεργασία κακόβουλα δημιουργημένου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση κώδικα“, δήλωσε η Apple όταν περιέγραψε τη zero-day ευπάθεια που επηρεάζει iPhones, iPads και Mac.
Η Apple είπε ακόμα ότι η ευπάθεια μπορεί να έχει χρησιμοποιηθεί ήδη από εγκληματίες του κυβερνοχώρου.
Δείτε επίσης: Pepsi Bottling Ventures: Θύμα επίθεσης από info-stealing malware
Η Apple διόρθωσε την ευπάθεια CVE-2023-23529 στο iOS 16.3.1, iPadOS 16.3.1 και macOS Ventura 13.2.1, για να εγγυηθεί ένα ασφαλές λειτουργικό σύστημα για τους χρήστες της.
Το εύρος των συσκευών Apple που επηρεάζονται από το zero-day bug είναι αρκετά μεγάλο, με το σφάλμα να επηρεάζει τόσο παλαιότερα όσο και νεότερα μοντέλα:
- iPhone 8 και νεότερα
- iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα, iPad 5ης γενιάς και νεότερα, και iPad mini 5ης γενιάς και νεότερα
- Mac που τρέχουν macOS Ventura
Η Apple κυκλοφόρησε, επίσης, ένα patch για το σφάλμα CVE-2023-23514, το οποίο αναφέρθηκε από τον Xinru Chi από Pangu Lab και τον Ned Williamson από Google Project Zero. Αν δεν είχε αντιμετωπιστεί, αυτό το ζήτημα θα μπορούσε ενδεχομένως να επιτρέψει σε κακόβουλους χρήστες να εκτελέσουν κώδικα με προνόμια kernel τόσο σε Mac όσο και σε iPhone.
Δείτε επίσης: Μια επίθεση phishing μπορεί να κοστίσει στην επιχείρηση 1 εκατ. $
Όπως είπαμε και παραπάνω, η Apple πιστεύει ότι μπορεί να έχει γίνει ενεργή εκμετάλλευση της zero-day ευπάθειας, αλλά δεν έχει αποκαλύψει ακόμη λεπτομέρειες σχετικά με αυτές τις επιθέσεις.
Περιορίζοντας την αποκάλυψη αυτών των πληροφοριών, η Apple πιθανότατα προσπαθεί να δώσει τη δυνατότητα σε όσο το δυνατόν περισσότερους καταναλωτές να ενημερώσουν τις συσκευές τους πριν οι επιτιθέμενοι εντοπίσουν τα στοιχεία που σχετίζονται με τη zero-day ευπάθεια και δημιουργήσουν κακόβουλα exploits για ευάλωτα iPhone, iPad και Mac.
Οι χρήστες των ευάλωτων συσκευών πρέπει να εγκαταστήσουν τις ενημερωμένες εκδόσεις άμεσα προκειμένου να προστατευτούν από πιθανές απόπειρες επίθεσης.
Πηγή: www.bleepingcomputer.com