Apple Uvoľňuje naliehavé bezpečnostné záplaty pre chyby Zero-Day pri aktívnych útokoch

Apple v pondelok vydala bezpečnostné aktualizácie pre iOS, macOS a watchOS, ktoré riešia tri chyby zero-day a rozširujú záplaty pre štvrtú zraniteľnosť, ktorá podľa spoločnosti mohla byť zneužitá vo voľnej prírode.

Všetky slabiny sa týkajú WebKitu, nástroja prehliadača, ktorý poháňa Safari a ďalšie webové prehliadače tretích strán v systéme iOS, čo umožňuje protivníkovi spustiť ľubovoľný kód na cieľových zariadeniach. Zhrnutie troch bezpečnostných chýb je nasledovné –

  • CVE-2021-30663: Zraniteľnosť pretečenia celého čísla, ktorú možno zneužiť na vytváranie škodlivého webového obsahu, čo môže viesť k spusteniu kódu. Chyba bola vyriešená vylepšenou validáciou vstupu.
  • CVE-2021-30665: Problém s poškodením pamäte, ktorý by sa dal zneužiť na vytváranie škodlivého webového obsahu, čo môže viesť k spusteniu kódu. Chyba bola vyriešená zlepšením riadenia štátu.
  • CVE-2021-30666: Zraniteľnosť pretečenia vyrovnávacej pamäte, ktorú možno zneužiť na vytváranie škodlivého webového obsahu, čo môže viesť k spusteniu kódu. Chyba bola vyriešená vylepšenou manipuláciou s pamäťou.

Vývoj prichádza o týždeň neskôr Apple spustil iOS 14.5 a macOS Big Sur 11.3 s opravou potenciálne zneužitej zraniteľnosti úložiska WebKit. Problém bez použitia, sledovaný ako CVE-2021-30661, bol objavený a oznámený výrobcovi iPhone bezpečnostným výskumníkom menom yangkang (@dnpushme) z Qihoo 360 ATA.

yangkang, spolu s zerokeeper a bianliang, boli uznaní za nahlásenie troch nových chýb.

Stojí za zmienku, že CVE-2021-30666 sa týka iba starších ľudí Apple zariadenia ako iPhone 5s, iPhone 6, iPhone 6 Navyše iPad Air, iPad mini 2, ipad mini 3a iPod touch (6. generácia). iOS 12.5.3 aktualizácia, ktorá túto chybu opravuje, obsahuje aj opravu pre CVE-2021-30661.

Spoločnosť uviedla, že vie o správach, že problémy „mohli byť aktívne využívané“, ale ako to už býva, nedokázala vysvetliť povahu útokov, obete, ktoré mohli byť cieľom, alebo aktérov hrozieb, ktorí môžu zneužívať. ich.

Používatelia Apple zariadenia sa odporúča aktualizovať na najnovšiu verziu, aby sa znížilo riziko spojené s chybami.

Aktualizácia: Apple tiež vydala novú verziu Safari 14.1 pre macOS Catalina a macOS Mojave s aktualizáciou, ktorá prináša opravy dvoch chýb WebKit CVE-2021-30663 a CVE-2021-30665. Aktualizácia prichádza deň po odoslaní opráv pre iOS, macOS a watchOS.