Nowe zero-day’e na urządzenia Apple

To już piąty zero-day w tym roku

Słynąca z wysokiego poziomu bezpieczeństwa urządzeń (między innymi poprzez zaawansowany proces kontroli i tworzenia oprogramowania) i solidności w wykonaniu firma Apple może wkrótce utracić miano najbezpieczniejszej.

Niestety tylko od początku tego roku doświadczyli już 5 błędów zero-day, o których pisaliśmy na Hack’u. Poniżej zamieszczamy w skrócie opis trzech wcześniejszych:

• W styczniu Apple załatał dwa aktywnie wykorzystywane zero-day, które mogą umożliwić atakującym wykonanie dowolnego kodu z uprawnieniami jądra (CVE-2022-22587) oraz śledzenie aktywności przeglądania sieci i tożsamości użytkowników w czasie rzeczywistym (CVE-2022- 22594).
• W lutym firma Apple wydała aktualizacje zabezpieczeń, aby naprawić nowy błąd zero-day wykorzystywany do hakowania iPhone’ów, iPadów i komputerów Mac, co prowadziło do awarii systemu operacyjnego i zdalnego wykonania kodu na zaatakowanych urządzeniach po przetworzeniu złośliwie spreparowanej treści w Internecie.

Przypominamy także, że przez cały poprzedni, 2021 rok firma musiała poradzić sobie z prawie niekończącym się strumieniem zero-day wykorzystywanych na wolności do atakowania urządzeń iOS, iPadOS i macOS. Lista zawierała wiele błędów wykorzystywanych do wdrażania oprogramowania szpiegującego Pegasus NSO na iPhone’ach należących do dziennikarzy, aktywistów i polityków.

Dwa nowe zero-day

Pierwszy dotyczy zapisu poza granicami pamięci w sterowniku graficznym Intel (kod błędu CVE-2022-22674), który umożliwia aplikacjom odczytywanie pamięci jądra, a więc działanie na wysoko uprzywilejowanym użytkowniku.
Drugi zaś dotyczy podobnego problemu, ale w dekoderze multimedialnym AppleAVD (CVE-2022-22675). Tutaj również wykorzystanie błędu umożliwia aplikacjom wykonywanie dowolnego kodu z uprawnieniami jądra.

Błędy zostały zgłoszone przez anonimowych badaczy i naprawione przez Apple w iOS 15.4.1, iPadOS 15.4.1 i macOS Monterey 12.3.1, w których ulepszono walidację danych wejściowych i sprawdzanie granic odczytu bufora.

Lista dotkniętych urządzeń obejmuje:

• Komputery Mac z systemem macOS Monterey
• iPhone 6s i nowsze
• iPad Pro (wszystkie modele), iPad Air 2 i nowsze, iPad 5. generacji i nowsze, iPad mini 4 i nowsze oraz iPod touch (7. generacji).

Expoitacja zero-day

Apple ujawniło aktywną exploitację podatności na wolności, jednak nie opublikowało żadnych dodatkowych informacji dotyczących tych ataków. Prawdopodobnie ukrywa ten fakt celowo, aby umożliwić aktualizację zabezpieczeń i dotrzeć do jak największej liczby iPhone’ów, iPadów i komputerów Mac, zanim cyberprzestępcy poznają szczegóły i zaczną nadużywać tych podatności.

Podsumowanie

Mimo, że nowe zeroday’e były prawdopodobnie używane tylko w atakach ukierunkowanych, nadal zdecydowanie zaleca się jak najszybsze zainstalowanie wczorajszych aktualizacji zabezpieczeń, aby zablokować potencjalne próby ataków.

Przypominamy, że błędy bezpieczeństwa zero-day to wady, o których dostawca oprogramowania nie zdaje sobie sprawy i których nie załatał. W niektórych przypadkach mają również publicznie dostępne exploity sprawdzające koncepcję lub mogą być aktywnie wykorzystywane w „środowisku naturalnym”. Na szczęście w przypadku Apple wykryte problemy są szybko zgłaszane i naprawiane przez producenta. Od strony użytkowników zalecamy stałą czujność i szybką reakcję na pojawiające się uaktualnienia. Unikniemy dzięki temu zhackowania.