Firma Apple po cichu wprowadziła kolejne aktualizacje systemu iOS, aby naprawić aktywnie wykorzystywaną lukę w zabezpieczeniach zero-day, którą załatała na początku tego miesiąca na nowszych urządzeniach. Luka wykryta w oprogramowaniu WebKit może umożliwić atakującym tworzenie złośliwej zawartości sieci Web, która umożliwia zdalne wykonanie kodu (RCE) na urządzeniu użytkownika.
Aktualizacja wydany w środę, iOS 12.5.6, dotyczy następujących modeli: iPhone 5S, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 oraz iPod touch 6. generacji.
Omawiana wada (CVE-2022-32893) jest opisywany przez firmę Apple jako problem z zapisem poza zakresem w programie WebKit. Zostało to rozwiązane w poprawce polegającej na poprawieniu sprawdzania granic. Firma Apple przyznała, że błąd jest przedmiotem aktywnego wykorzystania i wzywa użytkowników urządzeń, których dotyczy problem, do natychmiastowej aktualizacji.
Apple już załatał lukę w niektórych urządzeniach — wraz z błędem jądra śledzonym jako CVE-2022-32894 — wcześniej w sierpniu w iOS 15.6.1. To jest aktualizacja dotyczyło to iPhone'a 6S i nowszego, iPada Pro (wszystkie modele), iPada Air 2 i nowszego, iPada 5. generacji i nowszego, iPada mini 4 i nowszego oraz iPoda touch (7. generacji).
Wygląda na to, że najnowsza runda łatek dotyczy wszystkich swoich baz, dodając ochronę dla iPhone'ów ze starszymi wersjami iOS, zauważył ewangelista bezpieczeństwa Paul Ducklin.
„Zgadujemy, że Apple musiał natknąć się przynajmniej na niektórych głośnych (lub wysokiego ryzyka) użytkowników starszych telefonów, którzy zostali w ten sposób naruszeni, i postanowili wprowadzić ochronę dla wszystkich jako specjalny środek ostrożności, " on napisał w poście na blogu Sophos Naked Security.
Ducklin wyjaśnił, że podwójna ochrona Apple w celu naprawienia błędu w obu wersjach iOS wynika ze zmiany, które wersje platformy działają na których iPhone'ach.
Powiedział, że zanim Apple wypuścił iOS 13.1 i iPadOS 13.1, iPhone'y i iPady korzystały z tego samego systemu operacyjnego, określanego jako iOS dla obu urządzeń. Teraz iOS 12.x obejmuje iPhone'a 6 i wcześniejsze urządzenia, podczas gdy iOS 13.1 i nowsze wersje działają na iPhone'ach 6s i urządzeniach wydanych później.
Inną luką dnia zerowego, którą Apple załatał na początku tego miesiąca, CVE-2022-32894, była luka w jądrze, która może pozwolić na przejęcie całego urządzenia. Ale choć iOS 13 był dotknięty tą usterką — i w związku z tym otrzymał dla niej łatkę we wcześniejszej aktualizacji — nie ma ona wpływu na iOS 12, jak zauważył Ducklin, „co prawie na pewno pozwala uniknąć ryzyka całkowitego naruszenia samego systemu operacyjnego” w starszych urządzenia.
WebKit: szeroka powierzchnia do cyberataków
WebKit to silnik przeglądarki, który obsługuje Safari i wszystkie inne przeglądarki innych firm działające w systemie iOS. Wykorzystując CVE-2022-32893, cyberprzestępca może wbudować w witrynę złośliwą zawartość. Następnie, jeśli ktoś odwiedzi witrynę z iPhone'a, którego dotyczy problem, aktor może zdalnie uruchomić złośliwe oprogramowanie na swoim urządzeniu.
Ogólnie rzecz biorąc, WebKit jest uporczywą solą w oku Apple, jeśli chodzi o narażanie użytkowników na luki w zabezpieczeniach, ponieważ rozprzestrzenia się poza iPhone'y i inne urządzenia Apple do innych przeglądarek, które go używają — w tym Firefox, Edge i Chrome — narażając potencjalnie miliony użytkowników na ryzyko dany błąd.
„Pamiętaj, że błędy WebKit istnieją, mówiąc luźno, w warstwie oprogramowania poniżej Safari, więc własna przeglądarka Safari firmy Apple nie jest jedyną aplikacją zagrożoną tą luką” — zauważył Ducklin.
Co więcej, każda aplikacja wyświetlająca treści internetowe na iOS w celach innych niż ogólne przeglądanie – na przykład na stronach pomocy "O" ekran, czy nawet we wbudowanej „miniprzeglądarce” — pod maską wykorzystuje WebKit – dodał.
„Innymi słowy, samo„ unikanie Safari” i trzymanie się przeglądarki innej firmy nie jest odpowiednim obejściem [dla błędów WebKit]” – napisał Ducklin.
Jabłko pod atakiem
Eksperci twierdzą, że podczas gdy zarówno użytkownicy, jak i profesjonaliści tradycyjnie uważali platformy Apple Mac i iOS za bezpieczniejsze niż Microsoft Windows – i generalnie było tak z wielu powodów – sytuacja zaczyna się odwracać.
Rzeczywiście, pojawiający się krajobraz zagrożeń wykazuje większe zainteresowanie atakowaniem bardziej wszechobecnych technologii internetowych, a nie samego systemu operacyjnego poszerzył cel na plecach Apple, według raport o zagrożeniu została wydana w styczniu, a strategia łatania obronnego firmy odzwierciedla to.
Firma Apple załatała w tym roku co najmniej cztery błędy zero-day, a dwie łaty dla poprzednich luk w systemach iOS i macOS styczeń i jeden w luty — ten ostatni naprawił inny aktywnie wykorzystywany błąd w WebKit.
Co więcej, w zeszłym roku 12 z 57 zagrożeń zero-day, które badacze z Google Project Zero śledzone były związane z Apple (tj. ponad 20%) z problemami dotyczącymi macOS, iOS, iPadOS i WebKit.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
