More

    WebKit napadnut: Apple pušta hitne zakrpe za 3 Zero Day ranjivosti

    Apple je u četvrtak uveo sigurnosna ažuriranja za iOS, iPadOS, macOS, tvOS, watchOS i Safari web pretraživač kako bi riješio tri nova Zero Day propusta za koje kaže da se aktivno iskorištavaju u praksi.

    Tri bezbjednosna nedostatka su navedena u nastavku:

    • CVE-2023-32409 – Greška WebKit-a koju bi haker mogao iskoristiti da se probije iz zaštićenog okruženja web sadržaja. To je riješeno poboljšanim provjerama granica.
    • CVE-2023-28204 – Problem čitanja izvan granica u WebKit-u koji bi se mogao zloupotrebiti za otkrivanje osjetljivih informacija prilikom obrade web sadržaja. To je riješeno poboljšanom validacijom unosa.
    • CVE-2023-32373 – Greška u WebKit-u koja može dovesti do proizvoljnog izvršavanja koda prilikom obrade maliciozno kreiranog web sadržaja. To je riješeno poboljšanim upravljanjem memorijom.

    Proizvođač iPhonea je za prijavu CVE-2023-32409 zahvalan Clémentu Lecigneu iz Google-ove grupe za analizu prijetnji (TAG) i Donnchi Ó Cearbhaill iz Laboratorije za sigurnost Amnesty International-a. Anonimni istraživač je dobio priznanje za prijavljivanje druga dva problema.ž

    Vrijedi napomenuti da su i CVE-2023-28204 i CVE-2023-32373 zakrpljeni kao dio ažuriranja Rapid Security Response-a, iOS 16.4.1 (a) i iPadOS 16.4.1 (a), koje je kompanija objavila na početku mjeseca.

    Trenutno nema dodatnih tehničkih detalja o nedostacima, prirodi napada ili identitetu hakera koji ih mogu iskorištavati.

    Međutim, takve slabosti su se istorijski koristile kao dio visoko ciljanih upada za postavljanje špijunskog softvera najamnika na uređaje disidenata, novinara i aktivista za ljudska prava, između ostalih.

    Najnovija ažuriranja su dostupna za sljedeće uređaje i operativne sisteme:

    • iOS 16.5 i iPadOS 16.5 – iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji i iPad mini 5. generacija i noviji
    • iOS 15.7.6 i iPadOS 15.7.6 – iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacija), iPad Air 2, iPad mini (4. generacija) i iPod touch (7. generacija)
    • macOS Ventura 13.4 – macOS Ventura
    • tvOS 16.5 – Apple TV 4K (svi modeli) i Apple TV HD
    • watchOS 9.5 – Apple Watch Series 4 i novije verzije
    • Safari 16.5 – macOS Big Sur i macOS Monterey

    Apple je do sada otklonio ukupno šest aktivno Zero Day eksploatisanih grešaka od početka 2023. godine. Tokom februara, kompanija je uklonila grešku WebKit-a (CVE-2023-23529) koja bi mogla dovesti do izvršavanja koda na daljinu.

    Zatim je prošlog mjeseca isporučila popravke za par ranjivosti (CVE-2023-28205 i CVE-2023-28206) koje su omogućavale izvršavanje koda s povišenim privilegijama. Lecigne i Ó Cearbhaill su zaslužni za prijavljivanje sigurnosnih nedostataka.

    Izvor: The Hacker News

    Recent Articles

    spot_img

    Related Stories