Site icon Kiber.ba

Apple-ovo hitno ažuriranje popravlja 3 nove zero-days ranjivosti korištene u napadima

Apple hitno ažuriranje popravlja 3 nove zero-days ranjivosti iskorištene u napadima - Kiber.ba

Apple hitno ažuriranje popravlja 3 nove zero-days ranjivosti iskorištene u napadima - Kiber.ba

Apple je objavio hitne sigurnosne nadogradnje kako bi zakrpio tri nove ranjivosti nultog dana iskorištavane u napadima usmjerenim na korisnike iPhonea i Maca, za ukupno 16 zero-days popravljenih ove godine.

Pronađene su dvije greške u pretraživaču WebKit (CVE-2023-41993) i sigurnosnom okviru (CVE-2023-41991), što je omogućilo hakerima da zaobiđu provjeru valjanosti potpisa koristeći maliciozne aplikacije ili dobiju proizvoljno izvršenje koda putem zlonamjerno kreiranih web stranica.

Treći je pronađen u Kernel Framework-u, koji pruža API-je i podršku za ekstenzije kernela i drajvere uređaja rezidentne u kernelu. Lokalni hakeri mogu iskoristiti ovu manu (CVE-2023-41992) za eskalaciju privilegija.

Apple je popravio tri zero-day greške u macOS 12.7/13.6, iOS 16.7/17.0.1, iPadOS 16.7/17.0.1 i watchOS 9.6.3/10.0.1 rješavanjem problema s validacijom certifikata i poboljšanim provjerama.

“Apple je svjestan izvještaja da je ovaj problem možda bio aktivno iskorištavan u verzijama iOS-a prije verzije 16.7”, otkrila je kompanija u sigurnosnim upozorenjima u kojima se opisuju sigurnosni propusti.

Lista pogođenih uređaja obuhvata starije i novije modele uređaja, a uključuje:

Sva tri zero-day-a pronašli su i prijavili Bill Marczak iz laboratorije Citizen na Munk školi Univerziteta u Torontu i Maddie Stone iz Google-ove grupe za analizu prijetnji.

Dok Apple tek treba da pruži dodatne detalje u vezi sa iskorištavanjem nedostataka, istraživači iz Citizen Lab-a i Google Threat Analysis Group često otkrivaju zero-day greške koje su zloupotrebljene u ciljanim napadima špijunskog softvera usmjerenim na visokorizične pojedince, uključujući novinare, opozicione političare, i disidenti.

Citizen Lab je otkrio  još dva zero-day-a  (CVE-2023-41061 i CVE-2023-41064), koje je Apple također popravio u hitnim sigurnosnim ažuriranjima ranije ovog mjeseca a koji su zloupotrebljeni kao dio lanca  eksploatacije bez klikova (nazvan BLASTPASS)  za zarazu potpuno ažuriranih iPhone-a sa komercijalnim špijunskim softverom Pegasus grupe NSO.

Izvor: BleepingComputer

Exit mobile version