Apple v pondelok vydala bezpečnostné aktualizácie pre iOS, macOS, tvOS, watchOS a webový prehliadač Safari na opravu viacerých zraniteľností vrátane aktívne využívanej zero-day chyby v macOS Big Sur a rozšírenia opráv pre dve predtým odhalené zero-day chyby.
Sledovaný ako CVE-2021-30713, nultý deň sa týka problému s povoleniami v AppleRámec transparentnosti, súhlasu a kontroly (TCC) v systéme macOS, ktorý vedie databázu súhlasov každého používateľa. Výrobca iPhone uznal, že problém mohol byť zneužitý vo voľnej prírode, ale nezaostával za špecifikami zdieľania.
Spoločnosť poznamenala, že problém napravila vylepšeným overovaním.
V samostatnej správe však spoločnosť Jamf na správu mobilných zariadení uviedla, že chybu obídenia aktívne využíva XCSSET, malvér, ktorý je vo voľnej prírode od augusta 2020 a je známy tým, že sa šíri prostredníctvom upravených projektov Xcode IDE hosťovaných na úložiskách GitHub a škodlivých rastlín. balíky do legitímnych aplikácií nainštalovaných v cieľovom systéme.
„Predmetný exploit by mohol umožniť útočníkovi získať úplný prístup na disk, nahrávanie obrazovky alebo iné povolenia bez toho, aby vyžadoval výslovný súhlas používateľa – čo je predvolené správanie,“ uviedli výskumníci Jamf Stuart Ashenbrenner, Jaron Bradley a Ferdous Saljooki. – hore.
Chyba nultého dňa vo forme modulu AppleScript umožnila hackerom zneužiť zariadenia, na ktorých bol nainštalovaný XCSSET, na využitie oprávnení, ktoré už boli poskytnuté aplikácii s trójskymi koňmi na zhromažďovanie a extrakciu citlivých informácií.
Malvér konkrétne skontroloval povolenia na snímanie obrazovky zo zoznamu nainštalovaných aplikácií, ako sú Zoom, Discord, WhatsApp, Slack, TeamViewer, Upwork, Skypea Parallels Desktop, aby vložili malvér (“avatarde.app”) do priečinka aplikácie, čím zdedili potrebné povolenia potrebné na vykonávanie jej škodlivých úloh.
„Využitím nainštalovanej aplikácie so správnymi nastavenými povoleniami môže útočník využiť danú darcovskú aplikáciu pri vytváraní škodlivej aplikácie na spustenie na zariadeniach obetí bez toho, aby vyžadoval súhlas používateľa,“ uviedli vedci.
XCSSET bol tiež predmetom podrobnejšieho skúmania minulý mesiac po tom, čo bol zistený nový variant malvéru zameraný na počítače Mac spustené na AppleNové čipy M1 na kradnutie informácií o peňaženke z aplikácií pre kryptomeny. Jednou z jeho primárnych funkcií je vysávanie súborov cookie prehliadača Safari, ako aj inštalácia vývojárskej verzie aplikácie Safari na načítanie zadných dvierok JavaScriptu zo servera príkazov a ovládania.
V rámci pondelkových aktualizácií boli opravené aj dve ďalšie aktívne využívané chyby v engine prehliadača WebKit, ktoré ovplyvňujú Safari, Apple TV 4K a Apple Televízne HD zariadenia takmer po troch týždňoch Apple riešil začiatkom tohto mesiaca rovnaké problémy v systémoch iOS, macOS a watchOS.
- CVE-2021-30663 – Problém s pretečením celého čísla vo WebKite, ktorý by sa dal zneužiť na spustenie ľubovoľného kódu pri spracovaní škodlivého obsahu webu.
- CVE-2021-30665 – Problém s poškodením pamäte vo WebKit, ktorý by mohol viesť k spusteniu ľubovoľného kódu pri spracovaní škodlivého obsahu webu.
Používatelia Apple zariadenia sa odporúča aktualizovať na najnovšiu verziu, aby sa znížilo riziko spojené s chybami.
