Sākumlapa » Apdraudējumi » Apple aizlāpa trīs nulles dienas ievainojamības

Apple aizlāpa trīs nulles dienas ievainojamības

Apple ir izlaidis iOS, iPadOS un tvOS atjauninājumus ar labojumiem trim drošības ievainojamībām, kuras, pēc uzņēmuma teiktā, varētu būt aktīvi izmantotas reālos uzbrukumos.

Pēc anonīmu pētnieku ziņojumiem trīs nulles dienas trūkumi – CVE-2021-1782, CVE-2021-1870 un CVE-2021-1871 – var ļaut uzbrucējam paaugstināt pilnvaras mērķa ierīcē un panākt attālu koda izpildi jeb iegūt kontroli pār to. iPhone ražotājs neatklāj uzbrukuma izplatību, kā arī to, kas varētu būt uzbrucēji.

Kaut arī precīzas detaļas par ekspluatējumu, kas izmanto ievainojamības, visticamāk, netiks publiskotas, kamēr ielāpi nav plaši uzstādīti, nebūtu pārsteigums, ja ievainojamības tiktu izmantotas secīgi, lai veiktu tā saucamo watering hole* uzbrukumu potenciālajiem mērķiem. Šāds uzbrukums ietver ļaunprātīga koda piegādi, kad potenciālais upuris apmeklē kompromitētu vietni, kas izmantojot iepriekš minētās ievainojamības, paaugstina pilnvaras un izpilda patvaļīgas komandas, lai pārņemtu kontroli pār ierīci.

Atjauninājumi tagad ir pieejami iPhone 6s un jaunākiem, iPad Air 2 un jaunākiem, iPad mini 4 un jaunākiem un iPod touch (7. paaudze), kā arī Apple TV 4K un Apple TV HD. Lietotājiem ieteicams nekavēties ar atjauninājumu uzstādīšanu!

Apple jau 2020. gada novembrī novērsa trīs aktīvi izmantotas ievainojamības un atsevišķu nulles dienas ievainojamību operētājsistēmā iOS 13.5.1. Pēdējā tika izmantota kiberspiegošanas kampaņā, kuras mērķi bija Al Jazeera žurnālisti.

* Watering hole ir kiberuzbrukuma stratēģija, kurā uzbrucējs uzmin vai noskaidro, kuras vietnes mērķa persona vai organizācija bieži izmanto, un vienu vai vairākas no tām inficē ar ļaunprogrammatūru, piemēram, iPhone operētājsistēmas iOS nulles dienas ievainojamību ekspluatējumu.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

5 + 5 =

Uz augšu