Apple Varuje pred 3 Zero-Day bezpečnostné zraniteľnosti iOS využívané vo voľnej prírode

Apple v utorok vydala aktualizácie pre iOS, iPadOS a tvOS s opravami troch bezpečnostných zraniteľností, ktoré mohli byť aktívne zneužité vo voľnej prírode.

Nahlásené anonymným výskumníkom, tri chyby zero-day — CVE-2021-1782, CVE-2021-1870 a CVE-2021-1871 — mohli umožniť útočníkovi zvýšiť privilégiá a dosiahnuť vzdialené spustenie kódu.

Výrobca iPhonu neprezradil, aký rozšírený bol útok, ani neodhalil totožnosť útočníkov, ktorí ich aktívne zneužívali.

Zatiaľ čo chyba eskalácie privilégií v jadre (CVE-2021-1782) bola zaznamenaná ako konfliktná situácia, ktorá by mohla spôsobiť, že škodlivá aplikácia zvýši svoje privilégiá, ďalšie dva nedostatky – nazývané „logický problém“ – boli objavené v prehliadači WebKit. engine (CVE-2021-1870 a CVE-2021-1871), čo umožňuje útočníkovi vykonať ľubovoľné spustenie kódu v Safari.

Apple uviedol, že stav pretekov a nedostatky WebKit boli vyriešené vylepšeným uzamykaním a obmedzeniami.

Zatiaľ čo presné podrobnosti o využívaní nedostatkov pravdepodobne nebudú zverejnené, kým nebudú záplaty široko aplikované, nebolo by prekvapením, keby boli spojené reťazou, aby vykonali útoky na zalievanie proti potenciálnym cieľom.

Takýto útok by zahŕňal doručenie škodlivého kódu jednoduchou návštevou napadnutej webovej stránky, ktorá potom využije vyššie uvedené zraniteľnosti na eskaláciu svojich privilégií a spustenie ľubovoľných príkazov na prevzatie kontroly nad zariadením.

Aktualizácie sú teraz k dispozícii pre iPhone 6s a novší iPad Air 2 a neskôr iPad mini 4 a neskôr a iPod touch (7. generácia), ako aj Apple TV 4K a Apple TV HD.

Správy o najnovších zero-days prichádzajú po tom, čo spoločnosť v novembri 2020 vyriešila tri aktívne využívané zraniteľnosti a samostatnú zero-day chybu v iOS 13.5.1 ktorý bol zverejnený ako použitý v kyberšpionážnej kampani zameranej na novinárov Al-Džazíry minulý rok.