Apple випустила екстрені оновлення системи безпеки, щоб усунути дві критичні вразливості нульового дня iOS, які кібератаки активно використовують для компрометації користувачів iPhone на рівні ядра.
За оцінками Бюлетень безпеки Apple опубліковані 5 березня, помилки, пов’язані з пошкодженням пам’яті, дозволяють суб’єктам загрози з довільними можливостями читання та запису ядра обходити захист пам’яті ядра:
-
CVE-2024-23225: знайдено в ядрі iOS
-
CVE-2024-23296: знайдено в компоненті RTKit
Незважаючи на те, що Apple, як і раніше, відмовилася надати додаткові подробиці, Крішна Вішнубхотла, віце-президент зі стратегії продуктів постачальника послуг мобільної безпеки Zimperium, пояснює, що такі недоліки створюють підвищений ризик для окремих осіб і організацій.
«Ядро на будь-якій платформі має вирішальне значення, оскільки воно керує всіма операціями операційної системи та взаємодією з обладнанням», — пояснює він. «Уразливість у ньому, яка дозволяє довільний доступ, може дозволити зловмисникам обійти механізми безпеки, що потенційно може призвести до повної компрометації системи, витоку даних і впровадження шкідливого програмного забезпечення».
І не тільки це, але обхід захисту пам’яті ядра є особливою перевагою Кібератаки, орієнтовані на Apple.
«Apple має надійний захист, який запобігає доступу додатків до даних і функцій інших додатків або системи», — говорить Джон Бамбенек, президент Bambenek Consulting. «Обхід засобів захисту ядра по суті дозволяє зловмиснику розробити руткіт телефону, щоб отримати доступ до всього, наприклад GPS, камери та мікрофона, а також повідомлень, надісланих і отриманих у відкритому вигляді (тобто Signal)».
Помилки Apple: не лише для руткітування національних держав
Кількість використаних нульових днів для Apple наразі становить три: у січні технічний гігант виправив активно використовував помилку нульового дня в браузері Safari WebKit (CVE-2024-23222), помилка плутанини типу.
Незрозуміло, хто в цьому випадку здійснює експлуатацію, але користувачі iOS стали головними цілями для шпигунського ПЗ в останні місяці. Минулого року дослідники Kaspersky виявили низку дефектів нульового дня Apple (CVE-2023-46690, CVE-2023-32434, CVE-2023-32439), пов’язаних з Операція «Тріангуляція»., складна, ймовірно спонсорована державою кампанія кібершпигунства, яка розгорнула шпигунські імплантати TriangleDB на пристроях iOS у різних державних і корпоративних цілях. І національні держави добре відомі тим, що їх використовують нуль днів, щоб видалити шпигунське програмне забезпечення Pegasus групи NSO на пристроях iOS — у тому числі в нещодавньому кампанію проти громадянського суспільства Йорданії.
Однак Джон Галлахер, віце-президент Viakoo Labs у Viakoo, каже, що характер нападників може бути більш приземленим — і більш небезпечним для звичайних організацій.
«Уразливості нульового дня в iOS стосуються не лише державних атак шпигунського програмного забезпечення, наприклад Pegasus», — говорить він, додаючи, що можливість обійти захист пам’яті ядра, маючи привілеї читання та запису, «найбільш серйозна». Він зазначає: «Будь-який загрозливий суб’єкт, який прагне до стелсу, захоче використовувати експлойти нульового дня, особливо в пристроях, які часто використовуються, наприклад смартфонах, або системах із високим рівнем впливу, наприклад пристроях і програмах Інтернету речей».
Користувачам Apple слід оновити до таких версій, щоб виправити вразливості з покращеною перевіркою введення: iOS 17.4, iPadOS 17.4, iOS 16.76 і iPad 16.7.6.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/ics-ot-security/patch-now-apple-zero-day-exploits-bypass-kernel-security
- : має
- :є
- : ні
- 16
- 17
- 7
- a
- Здатний
- доступ
- доступ до
- активно
- актори
- додати
- Додатковий
- проти
- прицілювання
- ВСІ
- дозволяти
- дозволяє
- an
- та
- будь-який
- Apple
- застосування
- додатка
- довільний
- ЕСТЬ
- AS
- At
- нападаючий
- нападки
- BE
- оскільки
- ставати
- буття
- обидва
- порушення
- браузер
- Помилка
- помилки
- але
- обходити
- кімната
- Кампанія
- CAN
- можливості
- випадок
- Коло
- громадянський
- повний
- компроміс
- замішання
- підключений
- консалтинг
- Корпоративний
- може
- критичний
- вирішальне значення
- Небезпечний
- дані
- Порушення даних
- розгорнути
- деталі
- прилади
- відкритий
- справи
- Падіння
- e
- аварійний
- включіть
- помилка
- особливо
- по суті
- повсякденний
- все
- Пояснює
- експлуатований
- експлуатація
- подвигів
- далеко
- виправляти
- недоліки
- після
- для
- форма
- знайдений
- від
- функціональність
- отримує
- гігант
- Уряд
- GPS
- Group
- апаратні засоби
- Мати
- має
- he
- дуже
- HTTPS
- i
- ICON
- поліпшений
- in
- У тому числі
- осіб
- вхід
- Взаємодії
- Вступ
- iOS
- КАТО
- прилади іоту
- IPad
- iPadOS
- iPhone
- IT
- січня
- Джон
- JPG
- просто
- Kaspersky
- Labs
- останній
- Минулого року
- провідний
- дозволяє
- рівень
- Важіль
- як
- Ймовірно
- шкідливих програм
- управляє
- березня
- механізми
- пам'ять
- повідомлення
- мікрофон
- Mobile
- Mobile Security
- місяців
- більше
- природа
- примітки
- зараз
- номер
- of
- пропонувати
- on
- тільки
- операційний
- операційна система
- операції
- or
- організації
- Інше
- пластир
- Пегас
- телефон
- платформа
- plato
- Інформація про дані Платона
- PlatoData
- потенційно
- представити
- президент
- запобігати
- привілеї
- Product
- Постачальник
- Читати
- отримано
- останній
- випущений
- Дослідники
- Risk
- s
- Safari
- говорить
- безпеку
- посланий
- Серія
- серйозний
- Повинен
- Сигнал
- смартфонів
- So
- так далеко
- складний
- спеціальний
- шпигунство
- шпигунських програм
- стенди
- Хитрість
- Стратегія
- сильний
- такі
- система
- Systems
- цілі
- технології
- технічний гігант
- Що
- Команда
- Ці
- вони
- це
- загроза
- актори загроз
- три
- до
- топ
- правда
- два
- тип
- непокритий
- Оновити
- Updates
- використовуваний
- користувачі
- використання
- перевірка достовірності
- різноманітність
- версії
- віце
- Віцепрезидент
- Уразливості
- вразливість
- хотіти
- веб-комплект
- добре відомі
- в той час як
- ВООЗ
- волі
- з
- запис
- рік
- зефірнет
- помилка нульового дня
- уразливості нульового дня