אפל פרסמה עדכוני אבטחה לשעת חירום כדי לתקן שתי נקודות תורפה קריטיות ביום אפס של iOS שבהן משתמשים תוקפי סייבר באופן פעיל כדי לסכן משתמשי אייפון ברמת הליבה.
לפי עלון האבטחה של אפל ששוחררו ב-5 במרץ, באגי השחתת הזיכרון מאפשרים גם לשחקני איומים עם יכולות קריאה וכתיבה שרירותיות של ליבה לעקוף הגנות על זיכרון ליבה:
-
CVE-2024-23225: נמצא בליבת iOS
-
CVE-2024-23296: נמצא ברכיב RTKit
בעוד שאפל, נאמנה לצורתה, סירבה להציע פרטים נוספים, קרישנה וישנובוטלה, סגן נשיא לאסטרטגיית מוצר בספקית האבטחה הסלולרית Zimperium, מסביר שפגמים כמו אלה מחזקים את הסיכון לאנשים ולארגונים.
"הליבה בכל פלטפורמה היא קריטית מכיוון שהיא מנהלת את כל פעולות מערכת ההפעלה ואינטראקציות החומרה", הוא מסביר. "פגיעות בו המאפשרת גישה שרירותית יכולה לאפשר לתוקפים לעקוף מנגנוני אבטחה, מה שעלול להוביל להתפשרות מלאה על המערכת, לפרצות מידע והכנסת תוכנות זדוניות".
ולא רק זה, אלא שמעקפים להגנה על זיכרון ליבה הם שזיף מיוחד עבור תוקפי סייבר ממוקדי אפל.
"לאפל יש הגנות חזקות כדי למנוע מאפליקציות לגשת לנתונים ולפונקציונליות של אפליקציות אחרות או של המערכת", אומר ג'ון באמבנק, נשיא ב-Bambenek Consulting. "עקיפת הגנות הליבה בעצם מאפשרת לתוקף לבצע rootkit לטלפון כך שיוכל לגשת לכל דבר כמו ה-GPS, המצלמה והמיקרופון, והודעות שנשלחו והתקבלו בטקסט ברור (כלומר, איתות)."
באגים של אפל: לא רק עבור Rootkitting במדינות לאום
מספר ימי האפס המנוצלים עבור אפל עד כה עומד על שלושה: בינואר, ענקית הטכנולוגיה תיקנה ניצלו באופן פעיל באג יום אפס במנוע הדפדפן Safari WebKit (CVE-2024-23222), שגיאת בלבול סוג.
לא ברור מי מבצע את הניצול במקרה הזה, אבל משתמשי iOS הפכו למטרות מובילות עבור תוכנות ריגול בחודשים האחרונים. בשנה שעברה, חוקרי קספרסקי גילו סדרה של פגמים ביום אפס של אפל (CVE-2023-46690, CVE-2023-32434, CVE-2023-32439) הקשורים ל מבצע טריאנגולציה, קמפיין ריגול סייבר מתוחכם, סביר בחסות המדינה, שפרס שתלי ריגול של TriangleDB במכשירי iOS במגוון יעדים ממשלתיים וארגוניים. ומדינות לאום ידועות בשימוש בהן אפס ימים להפיל את תוכנת הריגול Pegasus של קבוצת NSO במכשירי iOS - כולל לאחרונה קמפיין נגד החברה האזרחית הירדנית.
עם זאת, ג'ון גלאגר, סגן נשיא Viakoo Labs ב-Viakoo, אומר שאופי התוקפים יכול להיות יותר ארצי - ומסוכן יותר לארגונים יומיומיים.
"פגיעויות ביום אפס של iOS אינן מיועדות רק למתקפות ריגול בחסות המדינה, כמו פגסוס", הוא אומר, ומוסיף שהיכולת לעקוף הגנות זיכרון הליבה תוך כדי הרשאות קריאה וכתיבה היא "רצינית ככל שתהיה." הוא מציין, "כל שחקן איום המכוון להתגנבות ירצה למנף ניצול של יום אפס, במיוחד במכשירים בשימוש רב, כגון סמארטפונים, או מערכות בעלות השפעה, כגון מכשירי ואפליקציות IoT."
משתמשי אפל צריכים לעדכן לגרסאות הבאות כדי לתקן את הפגיעויות עם אימות קלט משופר: iOS 17.4, iPadOS 17.4, iOS 16.76 ו-iPad 16.7.6.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/ics-ot-security/patch-now-apple-zero-day-exploits-bypass-kernel-security
- :יש ל
- :הוא
- :לֹא
- 16
- 17
- 7
- a
- יכול
- גישה
- גישה
- באופן פעיל
- שחקנים
- מוסיף
- נוסף
- נגד
- מכוון
- תעשיות
- להתיר
- מאפשר
- an
- ו
- כל
- תפוח עץ
- יישומים
- אפליקציות
- שרירותי
- ARE
- AS
- At
- תוקף
- המתקפות
- BE
- כי
- להיות
- להיות
- שניהם
- פרות
- דפדפן
- חרק
- באגים
- אבל
- לעקוף
- חדר
- מבצע
- CAN
- יכולות
- מקרה
- מעגל
- אזרחי
- להשלים
- פשרה
- בלבול
- מחובר
- ייעוץ
- משותף
- יכול
- קריטי
- מכריע
- מסוכן
- נתונים
- הפרת נתונים
- פרס
- פרטים
- התקנים
- גילה
- עושה
- ירידה
- e
- חירום
- לאפשר
- שגיאה
- במיוחד
- למעשה
- כל יום
- הכל
- מסביר
- ומנוצל
- מנצל
- מעללים
- רחוק
- לסדר
- פגמים
- הבא
- בעד
- טופס
- מצא
- החל מ-
- פונקציונלי
- מקבל
- ענק
- ממשלה
- GPS
- קְבוּצָה
- חומרה
- יש
- יש
- he
- מאוד
- HTTPS
- i
- ICON
- משופר
- in
- כולל
- אנשים
- קלט
- יחסי גומלין
- מבוא
- iOS
- IOT
- מכשירי יוט
- iPad
- iPad
- iPhone
- IT
- יָנוּאָר
- ג'ון
- jpg
- רק
- קספרסקי
- מעבדות
- אחרון
- שנה שעברה
- מוביל
- מאפשר לי
- רמה
- תנופה
- כמו
- סביר
- תוכנות זדוניות
- מצליח
- צעדה
- מנגנוני
- זכרון
- הודעות
- מיקרופון
- סלולרי
- אבטחה ניידת
- חודשים
- יותר
- טבע
- הערות
- עַכשָׁיו
- מספר
- of
- הַצָעָה
- on
- רק
- פועל
- מערכת הפעלה
- תפעול
- or
- ארגונים
- אחר
- תיקון
- פגסוס
- טלפון
- פלטפורמה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- פוטנציאל
- להציג
- נשיא
- למנוע
- הרשאות
- המוצר
- ספק
- חומר עיוני
- קיבלו
- לאחרונה
- שוחרר
- חוקרים
- הסיכון
- s
- ספארי
- אומר
- אבטחה
- נשלח
- סדרה
- רציני
- צריך
- לאותת
- טלפונים חכמים
- So
- עד כה
- מתוחכם
- מיוחד
- ריגול
- תוכנות ריגול
- עומד
- התגנבות
- אִסטרָטֶגִיָה
- חזק
- כזה
- מערכת
- מערכות
- מטרות
- טק
- טק
- זֶה
- השמיים
- אלה
- הֵם
- זֶה
- איום
- איום שחקנים
- שְׁלוֹשָׁה
- ל
- חלק עליון
- נָכוֹן
- שתיים
- סוג
- חָשׂוּף
- עדכון
- עדכונים
- מְשׁוּמָשׁ
- משתמשים
- באמצעות
- אימות
- מגוון
- גירסאות
- סְגָן
- סגן הנשיא
- פגיעויות
- פגיעות
- רוצה
- ערכת רשת
- מוכר
- בזמן
- מי
- יצטרך
- עם
- לכתוב
- שנה
- זפירנט
- באג של יום אפס
- פגיעות של יום אפס