Firma Apple wydała awaryjne aktualizacje zabezpieczeń, które naprawiają dwie krytyczne luki dnia zerowego w systemie iOS, które cyberprzestępcy aktywnie wykorzystują do atakowania użytkowników iPhone'a na poziomie jądra.
Zgodnie z Biuletyn bezpieczeństwa Apple opublikowane 5 marca, błędy powodujące uszkodzenie pamięci umożliwiają cyberprzestępcom posiadającym dowolne możliwości odczytu i zapisu jądra ominięcie zabezpieczeń pamięci jądra:
-
CVE-2024-23225: Znaleziono w jądrze iOS
-
CVE-2024-23296: Znaleziono w komponencie RTKit
Chociaż Apple zgodnie z formułą odmówił podania dodatkowych szczegółów, Krishna Vishnubhotla, wiceprezes ds. strategii produktu u dostawcy zabezpieczeń mobilnych Zimperium, wyjaśnia, że tego typu wady zwiększają ryzyko dla osób i organizacji.
„Jądro na dowolnej platformie ma kluczowe znaczenie, ponieważ zarządza wszystkimi operacjami systemu operacyjnego i interakcjami ze sprzętem” – wyjaśnia. „Luka w nim umożliwiająca dowolny dostęp może umożliwić atakującym ominięcie mechanizmów bezpieczeństwa, co może prowadzić do całkowitego naruszenia bezpieczeństwa systemu, naruszenia bezpieczeństwa danych i wprowadzenia złośliwego oprogramowania”.
I nie tylko to, ale obejścia ochrony pamięci jądra są specjalną śliwką Cyberatakujący skupieni na Apple.
„Apple posiada silne zabezpieczenia uniemożliwiające aplikacjom dostęp do danych i funkcjonalności innych aplikacji lub systemu” – mówi John Bambenek, prezes Bambenek Consulting. „Ominięcie zabezpieczeń jądra zasadniczo umożliwia atakującemu zrootowanie telefonu, dzięki czemu może uzyskać dostęp do wszystkiego, np. GPS, aparatu i mikrofonu oraz wiadomości wysyłanych i odbieranych w postaci zwykłego tekstu (tj. Signal).”
Błędy Apple: nie tylko w przypadku rootkitowania przez państwa narodowe
Liczba wykorzystanych dni zerowych dla Apple wynosi na razie trzy: w styczniu technologiczny gigant załatał błąd aktywnie wykorzystywany błąd dnia zerowego w silniku przeglądarki Safari WebKit (CVE-2024-23222), błąd związany z pomyleniem typów.
Nie jest jasne, kto w tym przypadku dokonuje exploita, ale w ostatnich miesiącach użytkownicy iOS stali się głównymi celami oprogramowania szpiegującego. W zeszłym roku badacze z Kaspersky odkryli szereg luk dnia zerowego Apple (CVE-2023-46690, CVE-2023-32434, CVE-2023-32439) powiązanych z Operacja Triangulacja, wyrafinowaną, prawdopodobnie sponsorowaną przez państwo kampanię cyberszpiegowską, w ramach której wdrożono implanty szpiegowskie TriangleDB na urządzeniach z systemem iOS w różnych celach rządowych i korporacyjnych. A państwa narodowe są dobrze znane z ich stosowania zero dni na wycofanie oprogramowania szpiegującego Pegasus należącego do NSO Group na urządzeniach z systemem iOS — w tym w niedawnym kampanię przeciwko jordańskiemu społeczeństwu obywatelskiemu.
Jednak John Gallagher, wiceprezes Viakoo Labs w firmie Viakoo, twierdzi, że charakter atakujących może być bardziej przyziemny i bardziej niebezpieczny dla codziennych organizacji.
„Luki dnia zerowego w systemie iOS dotyczą nie tylko ataków sponsorowanych przez państwo programów szpiegujących, takich jak Pegasus” – mówi, dodając, że możliwość ominięcia zabezpieczeń pamięci jądra przy jednoczesnym posiadaniu uprawnień do odczytu i zapisu jest „tak poważna, jak to tylko możliwe”. Zauważa: „Każdy podmiot zagrażający, którego celem jest ukrycie się, będzie chciał wykorzystać exploity dnia zerowego, szczególnie w często używanych urządzeniach, takich jak smartfony, lub w systemach o dużym wpływie, takich jak urządzenia i aplikacje IoT”.
Użytkownicy Apple powinni zaktualizować system do następujących wersji, aby załatać luki i usprawnić weryfikację danych wejściowych: iOS 17.4, iPadOS 17.4, iOS 16.76 i iPad 16.7.6.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/ics-ot-security/patch-now-apple-zero-day-exploits-bypass-kernel-security
- :ma
- :Jest
- :nie
- 16
- 17
- 7
- a
- Zdolny
- dostęp
- Dostęp
- aktywnie
- aktorzy
- dodanie
- Dodatkowy
- przed
- Cel
- Wszystkie kategorie
- dopuszczać
- pozwala
- an
- i
- każdy
- Apple
- aplikacje
- mobilne i webowe
- arbitralny
- SĄ
- AS
- At
- napastnik
- Ataki
- BE
- bo
- stają się
- jest
- obie
- naruszenia
- przeglądarka
- Bug
- błędy
- ale
- bypass
- aparat fotograficzny
- Kampania
- CAN
- możliwości
- walizka
- Okrągłe
- cywilny
- kompletny
- kompromis
- zamieszanie
- połączony
- consulting
- Korporacyjny
- mógłby
- krytyczny
- istotny
- Niebezpieczny
- dane
- Naruszenie danych
- wdrażane
- detale
- urządzenia
- odkryty
- robi
- Spadek
- e
- nagły wypadek
- umożliwiać
- błąd
- szczególnie
- istotnie
- codzienny
- wszystko
- Objaśnia
- eksploatowany
- wykorzystywanie
- exploity
- daleko
- Fix
- Skazy
- następujący
- W razie zamówieenia projektu
- Nasz formularz
- znaleziono
- od
- Funkcjonalność
- dostaje
- gigant
- Rząd
- GPS
- Zarządzanie
- sprzęt komputerowy
- Have
- mający
- he
- wysoko
- HTTPS
- i
- ICON
- ulepszony
- in
- Włącznie z
- osób
- wkład
- Interakcje
- Wprowadzenie
- iOS
- Internet przedmiotów
- urządzenia iot
- iPad
- iPadOS
- iPhone
- IT
- styczeń
- John
- jpg
- właśnie
- Kaspersky
- Labs
- Nazwisko
- Ostatni rok
- prowadzący
- pozwala
- poziom
- Dźwignia
- lubić
- Prawdopodobnie
- malware
- zarządza
- March
- Mechanizmy
- Pamięć
- wiadomości
- mic
- Aplikacje mobilne
- mobile Security
- miesięcy
- jeszcze
- Natura
- Uwagi
- już dziś
- numer
- of
- oferta
- on
- tylko
- operacyjny
- system operacyjny
- operacje
- or
- organizacji
- Inne
- Łata
- Pegasus
- telefon
- Platforma
- plato
- Analiza danych Platona
- PlatoDane
- potencjalnie
- teraźniejszość
- prezydent
- zapobiec
- przywileje
- Produkt
- dostawca
- Czytaj
- Odebrane
- niedawny
- wydany
- Badacze
- Ryzyko
- s
- Safari
- mówią
- bezpieczeństwo
- wysłany
- Serie
- poważny
- powinien
- Signal
- smartfony
- So
- dotychczas
- wyrafinowany
- specjalny
- szpiegowanie
- spyware
- stojaki
- Stealth
- Strategia
- silny
- taki
- system
- systemy
- cele
- tech
- gigant technologiczny
- że
- Połączenia
- Te
- one
- to
- groźba
- podmioty grożące
- trzy
- do
- Top
- prawdziwy
- drugiej
- rodzaj
- odkryte
- Aktualizacja
- Nowości
- używany
- Użytkownicy
- za pomocą
- uprawomocnienie
- różnorodność
- Wersje
- wice
- Wiceprezes
- Luki w zabezpieczeniach
- wrażliwość
- chcieć
- zestaw internetowy
- znane
- Podczas
- KIM
- będzie
- w
- napisać
- rok
- zefirnet
- błąd dnia zerowego
- podatności na zero dni