Naliehavé Apple Vydané aktualizácie iOS a macOS na opravu aktívne využívaných nultých dní

Apple vo štvrtok vydala bezpečnostné aktualizácie na opravu viacerých bezpečnostných zraniteľností v starších verziách iOS a macOS, o ktorých sa hovorí, že boli zistené pri exploitoch vo voľnej prírode, okrem rozšírenia opráv pre predtým zasunutú bezpečnostnú slabinu, ktorú zneužil sledovací nástroj NSO Group Pegasus na zacielenie na iPhone. používateľov.

Hlavným z nich je CVE-2021-30869, chyba typovej zámeny, ktorá sa nachádza v komponente jadra XNU vyvinutom spoločnosťou Apple ktoré by mohli spôsobiť, že škodlivá aplikácia spustí ľubovoľný kód s najvyššími oprávneniami. Technologický gigant so sídlom v Cupertine uviedol, že chybu vyriešil vylepšeným spracovaním stavu.

Skupina pre analýzu hrozieb spoločnosti Google, ktorej sa pripisuje nahlásenie chyby, uviedla, že zistila, že zraniteľnosť sa „používa v spojení s N-dňovým vzdialeným spustením kódu zacieleným na WebKit“.

Dve ďalšie chyby zahŕňajú CVE-2021-30858 a CVE-2021-30860, ktoré spoločnosť vyriešila začiatkom tohto mesiaca po zverejnení informácií od Citizen Lab z University of Toronto o predtým neznámom zneužití s ​​názvom „FORCEDENTRY“ (aka Megalodon), ktorý mohol nakaziť Apple zariadení bez jediného kliknutia.

Vzdialený útok s nulovým kliknutím CVE-2021-30860 údajne vykonával zákazník kontroverznej izraelskej spoločnosti NSO Group minimálne od februára 2021. Rozsah a rozsah operácie zostáva zatiaľ nejasný.

Spoliehal sa na iMessage ako vstupný bod na odosielanie škodlivého kódu, ktorý tajne nainštaloval spyware Pegasus do zariadení a prenikal do citlivých údajov bez toho, aby obeťami upozornil. Využívanie je tiež významné pre jeho schopnosť obísť vybudovanú obranu Apple v systéme iOS 14 – nazývanom BlastDoor – na zabránenie takýmto prienikom filtrovaním nedôveryhodných údajov odosielaných cez aplikáciu na odosielanie textových správ.

Záplaty sú dostupné pre zariadenia so systémom macOS Catalina a iPhone 5s, iPhone 6, iPhone 6 Navyše iPad Air, iPad mini 2, ipad mini 3a iPod touch (6. generácia) so systémom iOS 12.5.4.

Tento vývoj prichádza aj vtedy, keď výskumníci v oblasti bezpečnosti odhalili neopravené chyby zero-day v systéme iOS, vrátane chyby obchádzania obrazovky uzamknutia a množstva zraniteľností, ktoré by aplikácia mohla zneužiť na získanie prístupu k používateľom. Apple Identifikujte e-mailové adresy a celé mená, skontrolujte, či je na zariadení nainštalovaná konkrétna aplikácia s uvedením ID balíka, a dokonca získajte informácie o sieti Wi-Fi bez riadnej autorizácie.

Výskumník Denis Tokarev (aka illusionofchaos), ktorý zverejnil posledné tri problémy, povedal, že boli nahlásené Apple medzi 10. marcom a májom 4, tvrdiac, čo bola „frustrujúca skúsenosť, na ktorej som sa podieľal Apple program Security Bounty“ za to, že sa nepodarilo vyriešiť problémy napriek tomu, že ich zodpovedne zverejnil „až pred pol rokom“.

Článok Washington Post uverejnený pred dvoma týždňami skutočne odhalil, že spoločnosť má „masívne nevybavené“ správy o zraniteľnosti, pričom ich necháva nevyriešené celé mesiace, rozdáva nižšie peňažné výplaty lovcom chýb a v niektorých prípadoch priamo zakazuje výskumníkom prístup. jeho vývojársky program na podávanie správ.