אפל פרסמה בשקט עדכונים נוספים ל-iOS כדי לתקן פגיעת אבטחה של יום אפס שנוצלה באופן פעיל, שהיא תיקנה מוקדם יותר החודש במכשירים חדשים יותר. הפגיעות, שנמצאת ב-WebKit, יכולה לאפשר לתוקפים ליצור תוכן אינטרנט זדוני המאפשר ביצוע קוד מרחוק (RCE) במכשיר של משתמש.
עדכון פורסם ביום רביעי, iOS 12.5.6, חל על הדגמים הבאים: iPhone 5S, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 ו-iPod touch דור 6.
הפגם המדובר (CVE-2022-32893) מתוארת על ידי אפל כבעיית כתיבה מחוץ לתחום ב-WebKit. זה טופל בתיקון עם בדיקת גבולות משופרת. אפל הכירה בכך שהבאג נמצא תחת ניצול פעיל, והיא קוראת למשתמשים במכשירים המושפעים לעדכן באופן מיידי.
אפל כבר תיקנה את הפגיעות עבור חלק מהמכשירים - לצד ליקוי הליבה המעקב כ-CVE-2022-32894 - מוקדם יותר באוגוסט ב-iOS 15.6.1. זה עדכון שכיסה את iPhone 6S ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך, ו-iPod touch (דור 7).
נראה כי סבב התיקונים האחרון הוא שאפל מכסה את כל הבסיסים שלה על ידי הוספת הגנה לאייפון המריצים גרסאות ישנות יותר של iOS, ציין אוונג'ליסט האבטחה פול דאקלין.
"אנחנו מנחשים שאפל בטח נתקלה לפחות במשתמשים בעלי פרופיל גבוה (או בסיכון גבוה, או שניהם) בטלפונים ישנים שנפגעו בדרך זו, והחליטה לדחוף את ההגנה לכולם כאמצעי זהירות מיוחד, " הוא כתב בתפקיד בבלוג Sophos Naked Security.
הכיסוי הכפול של אפל לתיקון הבאג בשתי הגרסאות של iOS נובע מהשינוי באילו גרסאות של הפלטפורמה פועלות באיזה אייפון, הסביר דאקלין.
לפני שאפל שחררה את iOS 13.1 ו-iPadOS 13.1, מכשירי אייפון ואייפד השתמשו באותה מערכת הפעלה, המכונה iOS עבור שני המכשירים, אמר. כעת, iOS 12.x מכסה מכשירי iPhone 6 וקודמים יותר, בעוד ש-iOS 13.1 ואילך גרסאות פועלות על iPhone 6s ומכשירים שיצאו לאחר מכן.
הפגם הנוסף של יום אפס שאפל תיקנה מוקדם יותר החודש, CVE-2022-32894, היה פגיעות ליבה שיכולה לאפשר השתלטות על כל המכשירים. אבל בעוד ש-iOS 13 הושפע מהפגם הזה - ובכך קיבל תיקון עבורו בעדכון הקודם - הוא לא משפיע על iOS 12, ציין דאקלין, "מה שכמעט בוודאות מונע את הסיכון של התפשרות מוחלטת של מערכת ההפעלה עצמה" בגרסה ישנה יותר מכשירים.
WebKit: משטח מתקפת סייבר רחב
WebKit הוא מנוע הדפדפן שמניע את Safari וכל שאר הדפדפנים של צד שלישי שעובדים על iOS. על ידי ניצול CVE-2022-32893, שחקן איום יכול לבנות תוכן זדוני לאתר. לאחר מכן, אם מישהו מבקר באתר מאייפון מושפע, השחקן יכול להפעיל מרחוק תוכנות זדוניות במכשיר שלו.
WebKit באופן כללי היוותה קוץ מתמשך בעיצומה של אפל בכל הנוגע לחשיפת משתמשים לפגיעויות מכיוון שהיא מתפשטת מעבר למכשירי אייפון ומכשירי אפל אחרים לדפדפנים אחרים שמשתמשים בו - כולל פיירפוקס, אדג' וכרום - ומעמידה מיליוני משתמשים בסיכון באג נתון.
"זכור כי באגים של WebKit קיימים, באופן רופף, בשכבת התוכנה מתחת לספארי, כך שדפדפן הספארי של אפל עצמו אינו האפליקציה היחידה שנמצאת בסיכון מפגיעות זו", ציין דאקלין.
יתרה מכך, כל אפליקציה המציגה תוכן אינטרנט ב-iOS למטרות אחרות מלבד גלישה כללית - כגון בדפי העזרה שלה, "על אודות" מסך, או אפילו ב"מיני דפדפן" מובנה - משתמש ב-WebKit מתחת למכסה המנוע, הוא הוסיף.
"במילים אחרות, רק 'הימנעות מספארי' והיצמדות לדפדפן של צד שלישי אינה פתרון מתאים [עבור באגים של WebKit]", כתב דאקלין.
אפל תחת התקפה
בעוד שמשתמשים ואנשי מקצוע כאחד התייחסו באופן מסורתי לפלטפורמות ה-Mac וה-iOS של אפל כבטוחות יותר מ-Microsoft Windows - וזה היה נכון בדרך כלל ממספר סיבות - הגאות מתחילה להתהפך, אומרים מומחים.
אכן, נוף איומים מתפתח שמראה יותר עניין במיקוד לטכנולוגיות אינטרנט נפוצות יותר ולא למערכת ההפעלה עצמה הרחיב את המטרה על גבה של אפל, לפי דוח איומים שוחרר בינואר, ואסטרטגיית התיקון ההגנתית של החברה משקפת זאת.
אפל תיקנה לפחות ארבעה פגמים של יום אפס השנה, עם שני תיקונים עבור פגיעויות קודמות של iOS ו-macOS יָנוּאָר ואחד ב פבואר - האחרון שבהם תיקן בעיה נוספת שניצלה באופן פעיל ב- WebKit.
יתרה מכך, בשנה שעברה 12 מתוך 57 איומים של יום אפס שחוקרים מ-Project Zero של גוגל מעקב היו קשורים לאפל (כלומר, יותר מ-20%), עם בעיות שהשפיעו על macOS, iOS, iPadOS ו-WebKit.
