Menu dostępności

Apple łata kolejne trzy luki zero-day!

Uwaga! Apple łata kolejne trzy luki zero-day!

Trzy nowe luki zostały odkryte w wielu produktach Apple, w tym iPhone’ach (iOS), iPadachOS, watchachOS, w Safari, macachOS i wielu wersjach tych produktów. Luki te zostały potwierdzone przez Apple jako zero-daye.

W odpowiedzi na te ustalenia firma wydała wiele porad dotyczących bezpieczeństwa. Podatnościom przypisano następujące identyfikatory CVE: CVE-2023-41991, CVE-2023-41992 i CVE-2023-4199.

Za odkrycie i zgłoszenie niedociągnięć odpowiedzialni są Bill Marczak z Citizen Lab w Munk School na Uniwersytecie w Toronto i Maddie Stone z Google Threat Analysis Group (TAG). Wskazali, że mogły one zostać wykorzystane jako część wysoce ukierunkowanego oprogramowania szpiegującego skierowanego do tych obywateli, którzy są szczególnie narażeni na zostanie ofiarami cyberzagrożeń.

Ujawnienie nowych luk nastąpiło dwa tygodnie po tym, jak Apple rozwiązało dwa inne aktywnie wykorzystywane zero-daye (CVE-2023-41061 i CVE-2023-41064), które zostały połączone w łańcuch exploitów iMessage o nazwie BLASTPASS w celu wdrożenia najemnego oprogramowania szpiegującego znanego jako Pegasus.

Trzy luki

Pierwszy zero-day, z identyfikatorem CVE-2023-41991, oznacza błąd w walidacji certyfikatów we frameworku Security, który może pozwolić złośliwej aplikacji na ominięcie walidacji podpisu.

Drugi zero-day otrzymał identyfikator CVE-2023-41992 – jest to luka w zabezpieczeniach Kernela, która może pozwolić lokalnemu atakującemu na podniesienie swoich uprawnień.

Trzeci zero-day otrzymał identyfikator CVE-2023-41993. To luka w WebKit, mogąca skutkować wykonaniem dowolnego kodu podczas przetwarzania specjalnie spreparowanych treści internetowych.

Aktualizacje

Użytkownikom narażonych produktów Apple zaleca się aktualizację do najnowszych wersji, aby zapobiec wykorzystaniu luk. Łatki są dostępne dla następujących urządzeń i systemów operacyjnych:

  • iOS 16.7 i iPadOS 16.7 – iPhone 8 i nowsze, iPad Pro (wszystkie modele), iPad Air 3 generacji i nowsze, iPad 5 generacji i nowsze oraz iPad mini 5 generacji i nowsze,
  • iOS 17.0.1 i iPadOS 17.0.1 – iPhone XS i nowsze modele, iPad Pro 12,9 cala 2 generacji i nowsze modele, iPad Pro 10,5 cala, iPad Pro 11 cali 1 generacji i nowsze modele, iPad Air 3 generacji i nowsze modele, iPad 6 generacji i nowsze modele, iPad mini 5 generacji i nowsze modele,
  • macOS Monterey 12.7 i macOS Ventura 13.6,
  • watchOS 9.6.3 i watchOS 10.0.1 – Apple Watch Series 4 i nowsze,
  • Safari 16.6.1 – macOS Big Sur i macOS Monterey.

National Vulnerability Database (NVD) nie sklasyfikowała jeszcze wagi tych podatności. Firma Apple oświadczyła, że jest świadoma doniesień o tym, iż podmioty stanowiące zagrożenie mogły aktywnie wykorzystać luki.

Ostatnio na stronie Kapitana pisaliśmy o innych zagrożeniach dotyczących urządzeń firmy Apple. Zachęcamy do przeczytania!

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...