Coś ostatnio często piszemy o „firmie spod znaku nadgryzionego jabłka”. Wygląda to tak, jakbyśmy się uparli na dostarczanie argumentów w nieustającej dyskusji o wyższości Świąt Bożego Narodzenia nad Wielkanocą. I na dodatek wspierali jedną stronę i to tą, która z przekąsem mówi „zobacz szwagier coś ten IPhone chyba nie najlepszejszy”. Nic podobnego! Jeszcze daleko od tego, żebyśmy zdjęli plakat Steva Jobsa znad łóżka…. Niemniej warto poinformować, że Apple wydał łatki na systemy iOS 15.0.2 i iPadOS 15.0.2, aby naprawić lukę dnia zerowego, która jest aktywnie wykorzystywana w atakach na telefony i iPady.
Informacje o luce
Luka śledzona jako CVE-2021-30883, jest krytycznym błędem powodującym uszkodzenie pamięci w IOMobileFrameBuffer, który umożliwia aplikacji wykonywanie poleceń na podatnych urządzeniach z uprawnieniami jądra. To uprawnienia, które umożliwiają aplikacji wykonanie dowolnego polecenia na urządzeniu. Cyberprzestępcy mogą potencjalnie wykorzystać je do kradzieży danych lub instalowania kolejnego złośliwego oprogramowania.
Chociaż Apple nie podała żadnych szczegółów na temat wykorzystania tej luki w atakach, Badacze twierdzą, że istnieją doniesienia o jej aktywnym wykorzystywaniu.
Apple celowo utrzymuje niejasne raporty o lukach w zabezpieczeniach, aby upewnić się, że aktualizacja zostanie zastosowana do jak największej liczby urządzeń, zanim hackerzy będą mogli poznać szczegóły lub dokonać inżynierii wstecznej poprawki w celu stworzenia własnych exploitów. Udało się to jednemu z badaczy bezpieczeństwa. Saar Amar opublikował opis techniczny i exploit weryfikacyjny, który powstał w wyniku inżynierii wstecznej poprawki.
Lista urządzeń, których dotyczy ten problem, jest dość obszerna i dotyczy starszych i nowszych modeli, w tym iPhone 6s i nowsze, iPad Pro (wszystkie modele), iPad Air 2 i nowsze, iPad 5. generacji i nowsze, iPad mini 4 i nowsze oraz iPod touch (7. generacja).
Chociaż możliwe jest, że luka jest wykorzystywana w atakach ukierunkowanych i nie jest powszechnie stosowana, zdecydowanie zaleca się jak najszybsze zainstalowanie aktualizacji ze względu na jej wagę.
Inne wykryte ostatnio podatności Apple
Nie chcemy być złośliwi, ale to kolejna luka zero day naprawiona przez Apple układająca się wręcz w strumień podatności wykorzystywanych w atakach na iPhone’a, iPada i urządzenia z macOS:
- dwa zero day-e na początku tego miesiąca, jeden z nich używany również do instalowania oprogramowania szpiegującego Pegasus na iPhone’ach,
- ujawniony w sierpniu exploit FORCEDENTRY (wcześniej śledzony przez Amnesty Tech jako Megalodon),
- trzy zero-day iOS (CVE-2021-1870, CVE-2021-1871, CVE-2021-1872) w lutym, „eksploatowane na wolności” i zgłaszane przez anonimowych badaczy,
- zero-day iOS (CVE-2021-1879) w marcu, który również mógł być aktywnie wykorzystywany,
- jeden zero-day w iOS (CVE-2021-30661) i jeden w macOS (CVE-2021-30657) w kwietniu, wykorzystywane przez szkodliwe oprogramowanie Shlayer,
- trzy inne iOS zero-days (CVE-2021-30663, CVE-2021-30665 i CVE-2021-30666) w maju, błędy pozwalające na zdalne wykonanie dowolnego kodu (RCE) po prostu przez odwiedzanie złośliwych stron internetowych,
- macOS zero-day (CVE-2021-30713) w maju, który został wykorzystany przez złośliwe oprogramowanie XCSSET do ominięcia ochrony prywatności TCC firmy Apple,
- dwa błędy zero-day w systemie iOS (CVE-2021-30761 i CVE-2021-30762) w czerwcu, które „mogły być aktywnie wykorzystywane” do włamywania się do starszych urządzeń iPhone, iPad i iPod,
- w zeszłym miesiącu badacz publicznie ujawnił exploity dla trzech luk zero-day po tym, jak Apple opóźnił łatanie i nie przyznał informacji osobie, która je zgłosiła. Pisaliśmy o tym tutaj .
No tak… sporo tego ostatnio się nazbierało. Boleje nad tym prawie osobiście, bo kiedy piszę ten post, czasem odrywam oczy od Macbooka i widzę jak Steve w czarnym golfie patrzy się na mnie smutnymi oczami z plakatu… 🙂