Ανακοινώθηκε ότι η Apple αντιμετώπισε τρία νέα τρωτά σημεία zero-days που χρησιμοποιήθηκαν σε επιθέσεις για πειρατεία σε iPhone, Mac και iPad.
Δείτε επίσης: Η Cisco αποκαλύπτει XSS zero-day ευπάθεια στο εργαλείο server management
“Η Apple έλαβε μια αναφορά ότι αυτό το ζήτημα μπορεί να έχει εκμεταλλευτεί ενεργά“, αποκάλυψε η εταιρεία σε συμβουλές ασφαλείας που περιγράφουν τα ελαττώματα. Τα σφάλματα ασφαλείας βρέθηκαν όλα στη μηχανή προγράμματος περιήγησης πολλαπλών πλατφορμών WebKit και είναι γνωστά ως CVE-2023-32409, CVE-2023-28204 και CVE-2023-32373.
Το πρώτο σφάλμα είναι στην ασφάλεια του περιβάλλοντος sandbox, η οποία επιτρέπει σε εξωτερικούς εισβολείς να αποφύγουν τα περιορισμένα περιβάλλοντα εφαρμογών του Ιστού. Τα άλλα δύο είναι μια out-of-bounds ανάγνωση που μπορεί να βοηθήσει τους εισβολείς να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες και ένα ζήτημα που επιτρέπει την επίτευξη αυθαίρετης εκτέλεσης κώδικα σε παραβιασμένες συσκευές, αφότου εξαπατήσουν τους στόχους για να φορτώσουν κακόβουλες ιστοσελίδες.
Bot χρησιμοποιούν scalping και εξαντλούν τα δημοφιλή δώρα
Perseverance: Μελετά τους αρχαιότερους βράχους στον Άρη
Μυστήρια drones στο New Jersey: Τι λέει το Πεντάγωνο;
Η Apple διόρθωσε τα τρία zero-days στα macOS Ventura 13.4, iOS και iPadOS 16.5, tvOS 16.5, watchOS 9.5 και Safari 16.5 με βελτιωμένους ελέγχους ορίων, επαλήθευση εισόδου και διαχείριση μνήμης.
Η λίστα των συσκευών που επηρεάζονται είναι αρκετά εκτενής, καθώς το σφάλμα επηρεάζει παλαιότερα και νεότερα μοντέλα και περιλαμβάνει:
- iPhone 6s (όλα τα μοντέλα), iPhone 7 (όλα τα μοντέλα), iPhone SE (1ης γενιάς), iPad Air 2, iPad mini (4ης γενιάς), iPod touch (7η γενιά) και iPhone 8 και μεταγενέστερα
- iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και μεταγενέστερα, iPad 5ης γενιάς και μεταγενέστερα, και iPad mini 5ης γενιάς και μεταγενέστερα
- Mac που τρέχουν macOS Big Sur, Monterey και Ventura
- Apple Watch Series 4 και νεότερη έκδοση
- Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Δείτε ακόμα: Η VMware διορθώνει κρίσιμο zero-day exploit chain
Η εταιρεία αναφέρει ότι δύο τρωτά σημεία (CVE-2023-28204 και CVE-2023-32373), που είχαν αναφερθεί από ανώνυμους ερευνητές, διορθώθηκαν στις εκδόσεις iOS 16.4.1 και macOS 13.3.1 του Rapid Security Response (RSR), οι οποίες κυκλοφόρησαν την 1η Μαΐου.
Παρόλο που η Apple αναγνωρίζει ότι τα τρία zero-days που διορθώθηκαν πρόσφατα εκμεταλλεύονταν ενεργά, δεν αποκάλυψε καμία πληροφορία για αυτές τις επιθέσεις.
Τον Απρίλιο, η Apple επανήλθε σχετικά με δύο ακόμη zero-days (CVE-2023-28206 και CVE-2023-28205), που αποτελούν μέρος αλυσίδων εκμετάλλευσης σε Android, iOS και Chrome και αφορούν ευπάθειες zero-day και n-day. Είναι δυνατόν να καταχραστούν την ανάπτυξη εμπορικού spyware, όπου συσκευές-στόχοι παγκοσμίως με υψηλό κίνδυνο, εκτίθενται σε κίνδυνο.
Δείτε επίσης: Fortra: Δημοσιοποίησε επιθέσεις zero-day στο GoAnywhere MFT
Τον Φεβρουάριο, η Apple ενημέρωσε για ένα ακόμη πρόβλημα ασφαλείας στο WebKit (CVE-2023-23529), που χρησιμοποιήθηκε σε επιθέσεις για να εκτελεστεί κακόβουλος κώδικας σε iPhone, iPad και Mac που ήταν ευάλωτα.