Η Apple κυκλοφόρησε έκτακτες ενημερώσεις ασφαλείας για να αντιμετωπίσει δύο zero-day ευπάθειες που χρησιμοποιούνται σε επιθέσεις εναντίον iPhone, iPad και Mac.
Οι επιτιθέμενοι πιθανότατα εκμεταλλεύονται τις ευπάθειες σε εκδόσεις του iOS πριν από την iOS 16.7.1, σύμφωνα με την Apple.
Οι δύο zero-day ευπάθειες (CVE-2023-42916 και CVE-2023-42917) εντοπίστηκαν στο WebKit browser engine και επιτρέπουν στους επιτιθέμενους να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες μέσω ενός out-of-bounds read weakness. Επίσης, επιτρέπεται η εκτέλεση κώδικα μέσω ενός memory corruption bug σε ευάλωτες συσκευές, μέσω ιστοσελίδων που έχουν δημιουργηθεί κακόβουλα.
Δείτε επίσης: Η Google διορθώνει νέα zero-day ευπάθεια στον Chrome
Η Apple λέει ότι αντιμετώπισε τις δύο zero-day ευπάθειες στις εκδόσεις iOS 17.1.2, iPadOS 17.1.2, macOS Sonoma 14.1.2 και Safari 17.1.2.
Οι συσκευές που επηρεάζονται από τις ευπάθειες, είναι:
- iPhone XS και μεταγενέστερα μοντέλα
- iPad Pro 12,9 ιντσών 2ης γενιάς και μεταγενέστερα μοντέλα, iPad Pro 10,5 ιντσών, iPad Pro 11 ιντσών 1ης γενιάς και μεταγενέστερα μοντέλα, iPad Air 3ης γενιάς και μεταγενέστερα μοντέλα, iPad 6ης γενιάς και μεταγενέστερα μοντέλα, και iPad mini 5ης γενιάς και μεταγενέστερα μοντέλα
- Mac που τρέχουν macOS Monterey, Ventura, Sonoma
Οι δύο ευπάθειες εντοπίστηκαν και αναφέρθηκαν από τον ερευνητή ασφαλείας Clément Lecigne της Ομάδας Ανάλυσης απειλών (TAG) της Google. Η λίστα με τις συσκευές που επηρεάζονται είναι αρκετά μεγάλη, γι’ αυτό οι χρήστες καλούνται να ενημερώσουν άμεσα τις συσκευές τους για να παραμείνουν ασφαλείς. Οι ευπάθειες είναι αρκετά σοβαρές.
Η Apple δεν έχει δημοσιεύσει περισσότερες πληροφορίες σχετικά με την εκμετάλλευση στων zero-day ευπαθειών, αλλά οι ερευνητές της Google TAG αποκαλύπτουν συχνά zero-days που χρησιμοποιούνται σε επιθέσεις spyware εναντίον ατόμων υψηλού κινδύνου, όπως δημοσιογράφους, πολιτικούς και αντιφρονούντες.
Η Apple έχει διορθώσει 20 zero-day ευπάθειες από την αρχή του 2023
Οι ευπάθειες CVE-2023-42916 και CVE-2023-42917 είναι η 19η και 20ή zero-day που διορθώθηκαν από την Apple φέτος.
Από το καλοκαίρι και μετά, η εταιρεία έχει διορθώσει τουλάχιστον 7 zero-days (9 με τις τωρινές). Κάποιες από αυτές χρησιμοποιήθηκαν για την ανάπτυξη του λογισμικού κατασκοπείας Predator, καθώς και του Pegasus spyware της NSO Group.
Δείτε επίσης: Νέο botnet malware εκμεταλλεύεται two-zero-days για να μολύνει NVR και Routers
Επίσης, από την αρχή του έτους, η Apple έχει διορθώσει:
- δύο zero-days (CVE-2023-37450 και CVE-2023-38606) τον Ιούλιο
- τρεις (CVE-2023-32434, CVE-2023-32435 και CVE-2023-32439) τον Ιούνιο
- τρία ακόμη zero-days (CVE-2023-32409, CVE-2023-28204 και CVE-2023-32373) τον Μάιο
- δύο (CVE-2023-28206 και CVE-2023-28205) τον Απρίλιο
- και ένα άλλο WebKit zero-day (CVE-2023-23529) τον Φεβρουάριο
Οι zero-day ευπάθειες μπορούν να έχουν σοβαρές επιπτώσεις στους χρήστες iPhone, iPad και Mac. Οι κακόβουλοι χρήστες μπορούν να εκμεταλλευτούν αυτές τις ευπάθειες για να αποκτήσουν πρόσβαση στις συσκευές των χρηστών και να προκαλέσουν ζημιές. Αυτό μπορεί να οδηγήσει σε απώλεια προσωπικών δεδομένων, όπως κωδικοί πρόσβασης, πληροφορίες πιστωτικών καρτών και προσωπικές επαφές.
Επιπλέον, οι ευπάθειες αυτές μπορούν να χρησιμοποιηθούν για την εγκατάσταση κακόβουλου λογισμικού στις συσκευές των χρηστών. Αυτό μπορεί να οδηγήσει σε παρακολούθηση των δραστηριοτήτων των χρηστών, κλοπή προσωπικών πληροφοριών και απώλεια της ιδιωτικότητας.
Δείτε επίσης: Pwn2Own Toronto: Πάνω από 1 εκατομμύριο δολάρια για 58 zero-day
Οι ευπάθειες μπορούν να επηρεάσουν και την απόδοση των συσκευών των χρηστών. Οι επιθέσεις που τις εκμεταλλεύονται μπορεί να καταναλώνουν πόρους της συσκευής, όπως η μπαταρία και ο επεξεργαστής, προκαλώντας αργή απόκριση και κατάρρευση εφαρμογών.
Τέλος, οι ευπάθειες μπορούν να δημιουργήσουν ανασφάλεια και ανησυχία στους χρήστες του iOS. Όταν ανακοινώνονται ευπάθειες, οι χρήστες ανησυχούν για την ασφάλεια των συσκευών τους και την προστασία των προσωπικών τους δεδομένων. Αυτό μπορεί να επηρεάσει την εμπιστοσύνη των χρηστών στην Apple και την εταιρική της εικόνα.
Πηγή: www.bleepingcomputer.com
