Apple on vaikselt juurutanud iOS-ile rohkem värskendusi, et parandada aktiivselt ära kasutatud nullpäeva turvaauku, mille ta selle kuu alguses uuemates seadmetes parandas. WebKitist leitud haavatavus võib lubada ründajatel luua pahatahtlikku veebisisu, mis võimaldab kasutaja seadmes koodi kaugkäivitamist (RCE).
Uuendus kolmapäeval välja antud iOS 12.5.6 kehtib järgmistele mudelitele: iPhone 5S, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 ja iPod touch 6. põlvkond.
Kõnealune viga (CVE-2022-32893) kirjeldab Apple kui WebKiti piiranguteta kirjutamisprobleemi. Seda käsitleti plaastris täiustatud piiride kontrollimisega. Apple tunnistas, et viga on aktiivses kasutuses ja kutsub mõjutatud seadmete kasutajaid üles viivitamatult värskendama.
Apple oli mõnede seadmete haavatavuse juba parandanud - koos tuumaveaga, mida jälgitakse kui CVE-2022-32894 - augusti alguses iOS 15.6.1-s. see on uuendus mis hõlmasid iPhone 6S ja uuemaid, iPad Pro (kõik mudelid), iPad Air 2 ja uuemad, iPad 5. põlvkond ja uuemad, iPad mini 4 ja uuemad ning iPod touch (7. põlvkond).
Tundub, et viimane plaastrite voor katab Apple'i kõik oma alused, lisades iOS-i vanemaid versioone kasutavatele iPhone'idele kaitse, märkis turvaevangelist Paul Ducklin.
"Arvame, et Apple pidi kokku puutuma vähemalt mõne kõrgetasemelise (või kõrge riskiga või mõlema) vanemate telefonide kasutajaga, kes said sel viisil ohtu, ja otsustas erilise ettevaatusabinõuna kõigi jaoks kaitse välja lükata. ” kirjutas ta postituses Sophos Naked Security ajaveebis.
Ducklin selgitas, et Apple'i kahekordne katvus vea parandamiseks mõlemas iOS-i versioonis on tingitud muutusest, mis platvormi versioonid millistel iPhone'idel töötavad.
Ta ütles, et enne kui Apple välja andis iOS 13.1 ja iPadOS 13.1, kasutasid iPhone'id ja iPadid mõlema seadme jaoks sama operatsioonisüsteemi, mida nimetatakse iOS-iks. Nüüd hõlmab iOS 12.x iPhone 6 ja varasemaid seadmeid, samas kui iOS 13.1 ja uuemad versioonid töötavad iPhone 6s ja pärast seda välja antud seadmetes.
Teine nullpäeva viga, mille Apple selle kuu alguses parandas, CVE-2022-32894, oli kerneli haavatavus, mis võib võimaldada kogu seadme ülevõtmist. Kuid kuigi see viga mõjutas iOS 13 - ja sai selle jaoks paiga varasemas värskenduses -, ei mõjuta see iOS 12, märkis Ducklin, "mis peaaegu kindlasti väldib operatsioonisüsteemi enda täieliku kompromiteerimise ohtu" vanematel versioonidel. seadmeid.
WebKit: lai küberrünnaku pind
WebKit on brauseri mootor, mis toidab Safarit ja kõiki teisi iOS-is töötavaid kolmanda osapoole brausereid. Kasutades ära CVE-2022-32893, saab ohus osaleja veebisaidile pahatahtlikku sisu lisada. Seejärel, kui keegi külastab saiti mõjutatud iPhone'ist, saab näitleja oma seadmes pahavara kaugjuhtimisega käivitada.
WebKit on üldiselt olnud Apple'i haavatavuste paljastamisel püsiv pinnuks silmas, kuna see levib iPhone'idest ja muudest Apple'i seadmetest kaugemale teistele seda kasutavatele brauseritele (sh Firefox, Edge ja Chrome), seades potentsiaalselt miljonid kasutajad ohtu antud viga.
"Pidage meeles, et WebKiti vead eksisteerivad Safari all olevas tarkvarakihis, nii et Apple'i enda Safari brauser pole ainus rakendus, mida see haavatavus ohustab," märkis Ducklin.
Pealegi, kõik rakendused, mis kuvavad iOS-is veebisisu muuks otstarbeks kui üldiseks sirvimiseks – näiteks oma abilehtedel, "Teave" ekraan või isegi sisseehitatud "minibrauseris" - kasutab kapoti all WebKiti, lisas ta.
"Teisisõnu, lihtsalt "Safari vältimine" ja kolmanda osapoole brauseri juurde jäämine ei ole [WebKiti vigade jaoks] sobiv lahendus," kirjutas Ducklin.
Apple rünnaku all
Kuigi nii kasutajad kui ka spetsialistid on traditsiooniliselt pidanud Apple'i Maci ja iOS-i platvorme turvalisemaks kui Microsoft Windowsi – ja see on üldiselt tõsi mitmel põhjusel –, on ekspertide sõnul hakanud mõõn pöörduma.
Tõepoolest, esilekerkiv ohumaastik, mis näitab üles suuremat huvi üldlevinud veebitehnoloogiate, mitte OS-i enda vastu. on sihti laiendanud vastavalt Apple'i seljale ohuaruanne avaldati jaanuaris ja ettevõtte kaitsva lappimise strateegia peegeldab seda.
Apple on sel aastal parandanud vähemalt neli nullpäeva viga, kusjuures kaks paika on varasemate iOS-i ja macOS-i haavatavuste jaoks. Jaanuar ja üks sisse Veebruar — viimane parandas WebKiti veel ühe aktiivselt ära kasutatud probleemi.
Veelgi enam, eelmisel aastal 12 nullipäeva ohtudest 57-st Google'i projekti Zero teadlased jälgida olid Apple'iga seotud (st rohkem kui 20%) ning probleemid mõjutasid macOS-i, iOS-i, iPadOS-i ja WebKiti.
