Firma Apple opublikowała w czwartek poprawki dla dwóch krytycznych luk zero-day w urządzeniach iPhone, iPad i Mac, które dają hakerom niebezpieczny dostęp do wewnętrznych systemów operacyjnych, na których działają urządzenia.
Apple przypisał anonimowemu badaczowi odkrycie obu luk. Pierwsza luka, CVE-2022-22675, występuje w systemie macOS w przypadku Monterey oraz w systemie iOS lub iPadOS w przypadku większości modeli iPhone’a i iPada. Ta usterka, która wynika z problemu z pisaniem poza granicami, daje hakerom możliwość wykonania złośliwego kodu, który działa z uprawnieniami jądra, najbardziej wrażliwym obszarem systemu operacyjnego. Jednocześnie CVE-2022-22674 powoduje również problem z odczytem poza granicami, który może prowadzić do wykrycia pamięci jądra.
Apple ujawniło dokładne szczegóły wad tutaj A tutaj. Firma napisała o obu lukach: „Apple wie o zgłoszeniu, że ten problem mógł być aktywnie wykorzystywany”.
pada jabłko zero dni
CVE-2022-22674 i CVE-2022-22675 to czwarta i piąta zero-day, którą firma Apple koryguje w tym roku. W styczniu firma szybko wydała łatki dla systemów iOS, iPadOS, macOS Monterey, watchOS, tvOS i HomePod. Napraw błąd związany z uszkodzeniem pamięci dnia zerowego Może dać eksploatatorom możliwość wykonywania kodu z uprawnieniami jądra. Błąd, który jest śledzony jako CVE-2022-22587, znajduje się w IOMobileFrameBuffer. Oddzielna luka, CVE-2022-22594, umożliwiła stronom internetowym śledzenie poufnych informacji użytkownika. Kod wykorzystujący tę lukę został publicznie udostępniony przed opublikowaniem poprawki.
Apple w lutym wprowadził poprawkę dla Użyj po usunięciu błędów Do silnika przeglądarki Webkit, który dał atakującym możliwość uruchomienia złośliwego kodu na iPhone’ach, iPadach i iTouchach. Apple twierdzi, że otrzymane raporty wskazują, że luka – CVE-2022-22620 – mogła być aktywnie wykorzystywana.
a Stół Analitycy bezpieczeństwa Google śledzą zero dni, pokazując, że Apple naprawił w sumie 12 z tych luk w 2021 r. Wśród nich była luka w iMessage, którą atakował szkielet oprogramowania szpiegującego Pegasus. Wykorzystaj zero kliknięć, co oznacza, że urządzenia zostały zainfekowane, gdy tylko otrzymały złośliwą wiadomość, nie wymagając żadnego działania ze strony użytkownika. Zero Day That Apple Poprawione w maju Umożliwiło to atakującym infekowanie w pełni zaktualizowanych urządzeń.
„Muzyk. Guru kawy. Specjalista od zombie. Adwokat mediów społecznościowych. Introwertyk. Ekstremalny miłośnik jedzenia. Ewangelista alkoholu”.