Użytkownicy urządzeń Apple nie mogą czuć się bezpiecznie. Gigant technologiczny z Cupertino wydał właśnie wczoraj nowe, krytyczne łatki bezpieczeństwa na dwie podatności klasy zero-day. Podatności były powszechnie wykorzystywane przez hakerów, którzy do włamań używali specjalnie napisane exploity. Radzimy jak najszybciej zaktualizować Wasze urządzenia.
To już piąty zero-day w tym roku
Słynąca z wysokiego poziomu bezpieczeństwa urządzeń (między innymi poprzez zaawansowany proces kontroli i tworzenia oprogramowania) i solidności w wykonaniu firma Apple może wkrótce utracić miano najbezpieczniejszej.
Niestety tylko od początku tego roku doświadczyli już 5 błędów zero-day, o których pisaliśmy na Hack’u. Poniżej zamieszczamy w skrócie opis trzech wcześniejszych:
- W styczniu Apple załatał dwa aktywnie wykorzystywane zero-day, które mogą umożliwić atakującym wykonanie dowolnego kodu z uprawnieniami jądra (CVE-2022-22587) oraz śledzenie aktywności przeglądania sieci i tożsamości użytkowników w czasie rzeczywistym (CVE-2022- 22594).
- W lutym firma Apple wydała aktualizacje zabezpieczeń, aby naprawić nowy błąd zero-day wykorzystywany do hakowania iPhone’ów, iPadów i komputerów Mac, co prowadziło do awarii systemu operacyjnego i zdalnego wykonania kodu na zaatakowanych urządzeniach po przetworzeniu złośliwie spreparowanej treści w Internecie.
Przypominamy także, że przez cały poprzedni, 2021 rok firma musiała poradzić sobie z prawie niekończącym się strumieniem zero-day wykorzystywanych na wolności do atakowania urządzeń iOS, iPadOS i macOS. Lista zawierała wiele błędów wykorzystywanych do wdrażania oprogramowania szpiegującego Pegasus NSO na iPhone’ach należących do dziennikarzy, aktywistów i polityków.
Dwa nowe zero-day
Pierwszy dotyczy zapisu poza granicami pamięci w sterowniku graficznym Intel (kod błędu CVE-2022-22674), który umożliwia aplikacjom odczytywanie pamięci jądra, a więc działanie na wysoko uprzywilejowanym użytkowniku.
Drugi zaś dotyczy podobnego problemu, ale w dekoderze multimedialnym AppleAVD (CVE-2022-22675). Tutaj również wykorzystanie błędu umożliwia aplikacjom wykonywanie dowolnego kodu z uprawnieniami jądra.
Błędy zostały zgłoszone przez anonimowych badaczy i naprawione przez Apple w iOS 15.4.1, iPadOS 15.4.1 i macOS Monterey 12.3.1, w których ulepszono walidację danych wejściowych i sprawdzanie granic odczytu bufora.
Lista dotkniętych urządzeń obejmuje:
- Komputery Mac z systemem macOS Monterey
- iPhone 6s i nowsze
- iPad Pro (wszystkie modele), iPad Air 2 i nowsze, iPad 5. generacji i nowsze, iPad mini 4 i nowsze oraz iPod touch (7. generacji).
Expoitacja zero-day
Apple ujawniło aktywną exploitację podatności na wolności, jednak nie opublikowało żadnych dodatkowych informacji dotyczących tych ataków. Prawdopodobnie ukrywa ten fakt celowo, aby umożliwić aktualizację zabezpieczeń i dotrzeć do jak największej liczby iPhone’ów, iPadów i komputerów Mac, zanim cyberprzestępcy poznają szczegóły i zaczną nadużywać tych podatności.
Podsumowanie
Mimo, że nowe zeroday’e były prawdopodobnie używane tylko w atakach ukierunkowanych, nadal zdecydowanie zaleca się jak najszybsze zainstalowanie wczorajszych aktualizacji zabezpieczeń, aby zablokować potencjalne próby ataków.
Przypominamy, że błędy bezpieczeństwa zero-day to wady, o których dostawca oprogramowania nie zdaje sobie sprawy i których nie załatał. W niektórych przypadkach mają również publicznie dostępne exploity sprawdzające koncepcję lub mogą być aktywnie wykorzystywane w „środowisku naturalnym”. Na szczęście w przypadku Apple wykryte problemy są szybko zgłaszane i naprawiane przez producenta. Od strony użytkowników zalecamy stałą czujność i szybką reakcję na pojawiające się uaktualnienia. Unikniemy dzięki temu zhackowania.