Apple выпустила экстренные обновления безопасности для исправления двух критических уязвимостей нулевого дня в iOS, которые киберзлоумышленники активно используют для компрометации пользователей iPhone на уровне ядра.
По Бюллетень безопасности Apple выпущенные 5 марта, ошибки повреждения памяти позволяют злоумышленникам с произвольными возможностями чтения и записи ядра обходить защиту памяти ядра:
-
CVE-2024-23225: обнаружен в ядре iOS.
-
CVE-2024-23296: обнаружен в компоненте RTKit.
Хотя Apple, как и следовало ожидать, отказалась предоставить дополнительную информацию, Кришна Вишнубхотла, вице-президент по продуктовой стратегии поставщика мобильной безопасности Zimperium, объясняет, что подобные недостатки усугубляют риск для отдельных лиц и организаций.
«Ядро на любой платформе имеет решающее значение, поскольку оно управляет всеми операциями операционной системы и взаимодействием оборудования», — объясняет он. «Уязвимость в нем, которая обеспечивает произвольный доступ, может позволить злоумышленникам обойти механизмы безопасности, что потенциально может привести к полной компрометации системы, утечке данных и внедрению вредоносного ПО».
И не только это, но и обходы защиты памяти ядра — особая фишка для Киберзлоумышленники, ориентированные на Apple.
«Apple имеет надежную защиту, предотвращающую доступ приложений к данным и функциям других приложений или системы», — говорит Джон Бамбенек, президент Bambenek Consulting. «Обход защиты ядра, по сути, позволяет злоумышленнику установить руткит на телефон, чтобы получить доступ ко всему, например, к GPS, камере и микрофону, а также к сообщениям, отправленным и полученным в открытом тексте (т. е. Signal)».
Ошибки Apple: не только для руткитов на национальном уровне
Число эксплуатируемых нулевых дней для Apple на данный момент составляет три: в январе технологический гигант исправил активно эксплуатировал ошибку нулевого дня в браузерном движке Safari WebKit (CVE-2024-23222), ошибка путаницы типов.
Неясно, кто в этом случае занимается эксплуатацией, но в последние месяцы пользователи iOS стали главной мишенью для шпионского ПО. В прошлом году исследователи «Лаборатории Касперского» обнаружили серию уязвимостей нулевого дня Apple (CVE-2023-46690, CVE-2023-32434, CVE-2023-32439), связанных с Операция Триангуляция, изощренная, вероятно, спонсируемая государством кампания кибершпионажа, в ходе которой шпионские имплантаты TriangleDB были установлены на устройствах iOS для различных правительственных и корпоративных целей. И национальные государства хорошо известны тем, что используют нулевой день, чтобы отказаться от шпионского ПО Pegasus группы NSO на устройствах iOS, в том числе в недавнем кампания против иорданского гражданского общества.
Однако Джон Галлахер, вице-президент Viakoo Labs в Viakoo, говорит, что характер злоумышленников может быть более приземленным и более опасным для повседневных организаций.
«Уязвимости iOS нулевого дня предназначены не только для спонсируемых государством атак шпионских программ, таких как Pegasus», — говорит он, добавляя, что возможность обойти защиту памяти ядра, имея привилегии чтения и записи, «настолько серьезна, насколько это возможно». Он отмечает: «Любой злоумышленник, стремящийся к скрытности, захочет использовать эксплойты нулевого дня, особенно в часто используемых устройствах, таких как смартфоны, или в высокоэффективных системах, таких как устройства и приложения IoT».
Пользователям Apple следует обновиться до следующих версий, чтобы исправить уязвимости и улучшить проверку ввода: iOS 17.4, iPadOS 17.4, iOS 16.76 и iPad 16.7.6.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/ics-ot-security/patch-now-apple-zero-day-exploits-bypass-kernel-security
- :имеет
- :является
- :нет
- 16
- 17
- 7
- a
- в состоянии
- доступ
- доступа
- активно
- актеры
- добавить
- дополнительный
- против
- Стремясь
- Все
- позволять
- позволяет
- an
- и
- любой
- Apple
- Приложения
- Программы
- произвольный
- МЫ
- AS
- At
- нападающий
- нападки
- BE
- , так как:
- становиться
- не являетесь
- изоферменты печени
- нарушения
- браузер
- Ошибка
- ошибки
- но
- байпас
- камера
- Кампания
- CAN
- возможности
- случаев
- Circle
- гражданский
- полный
- скомпрометированы
- замешательство
- подключенный
- консалтинг
- Корпоративное
- может
- критической
- решающее значение
- опасно
- данным
- Нарушения данных
- развернуть
- подробнее
- Устройства
- открытый
- дело
- Падение
- e
- крайняя необходимость
- включить
- ошибка
- особенно
- по существу
- повседневный
- многое
- Объясняет
- Эксплуатируемый
- эксплуатации
- использует
- далеко
- фиксированный
- недостатки
- после
- Что касается
- форма
- найденный
- от
- функциональность
- получает
- гигант
- Правительство
- GPS
- группы
- Аппаратные средства
- Есть
- имеющий
- he
- очень
- HTTPS
- i
- ICON
- улучшенный
- in
- В том числе
- лиц
- вход
- взаимодействие
- Введение
- iOS
- КАТО
- несколько устройств
- IPad
- iPadOS
- iPhone
- IT
- январь
- John
- JPG
- всего
- Kaspersky
- Labs
- Фамилия
- В прошлом году
- ведущий
- Lets
- уровень
- Кредитное плечо
- такое как
- Вероятно
- вредоносных программ
- управляет
- Март
- механизмы
- Память
- Сообщения
- микрофон
- Мобильный телефон
- Mobile Security
- месяцев
- БОЛЕЕ
- природа
- Заметки
- сейчас
- номер
- of
- предлагают
- on
- только
- операционный
- операционная система
- Операционный отдел
- or
- организации
- Другое
- Патчи
- Pegasus
- Телефон
- Платформа
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- потенциально
- представить
- президент
- предотвращать
- привилегии
- Продукт
- Недвижимости
- Читать
- получила
- последний
- выпустил
- исследователи
- Снижение
- s
- Safari
- говорит
- безопасность
- послать
- Серии
- серьезный
- должен
- сигнал
- смартфоны
- So
- уже
- сложный
- особый
- шпионаж
- шпионских программ
- стоит
- Stealth
- Стратегия
- сильный
- такие
- система
- системы
- направлена против
- технологии
- технологический гигант
- который
- Ассоциация
- Эти
- они
- этой
- угроза
- актеры угрозы
- три
- в
- топ
- правда
- два
- напишите
- непокрытый
- Обновление ПО
- Updates
- используемый
- пользователей
- через
- Проверка
- разнообразие
- версии
- вице
- вице-президент
- Уязвимости
- уязвимость
- хотеть
- вебкит
- известный
- в то время как
- КТО
- будете
- записывать
- год
- зефирнет
- ошибка нулевого дня
- уязвимости нулевого дня