Zapewne wielu użytkowników urządzeń z logo nadgryzionego jabłka podczas porannej kawy i sprawdzania aktualizacji dla systemów zauważyło, że znalazły się w nich nowe poprawki do pobrania. Nie warto ich ignorować, gdyż zawierają aktualizację poważnej luki w bezpieczeństwie umożliwiającej atakującemu przejęcie kontroli nad urządzeniem.
W najnowszej aktualizacji od Apple pojawiły się poprawki między innymi dla nowego zero-daya. Warto też przy okazji załatać podobną lukę w Google Chrome.
Najpierw spójrzmy na Apple.
Podatność zero-day w Apple – CVE-2024-23222
Łatka na CVE-2024-23222 rozwiązuje problem z pomieszaniem typów, który mógł pozwolić na wykonanie dowolnego kodu w pakiecie WebKit firmy Apple. Dotyczy to wszystkich wersji systemów macOS, tvOS, iOS i iPadOS. Producent twierdzi, że ma świadomość, iż problem ten mógł zostać wykorzystany we wcześniejszych wersjach tych produktów.
Jest to pierwszy CVE od Apple klasy zero-day w tym roku. Poprawki są dostępne dla następujących systemów:
- iOS wersja 16.7.5 i nowsze,
- iPadOS wersja 16.7.5 i nowsze,
- macOS Monterey wersja 12.7.3 i nowsze,
- tvOS wersja 17.3 i nowsze.
Pełna lista urządzeń, na które wpływa nowy zero-day w WebKit jest dość obszerna, ponieważ błąd dotyczy starszych i nowszych modeli, takich jak:
iPhone 8, iPhone 8 Plus, iPhone X, iPad 5 generacji, iPad Pro 9,7 cala i iPad Pro 12,9 cala 1 generacji, iPhone XS i nowsze, iPad Pro 12,9 cala 2 generacji i nowsze, iPad Pro 10,5 cala, iPad Pro 11 cali 1 generacji i nowsze, iPad Air 3 generacji i nowsze, iPad 6 generacji i nowsze oraz iPad mini 5 generacji i nowsze, a także komputery Mac z systemem macOS Monterey i nowszym oraz Apple TV HD i Apple TV 4K (wszystkie modele).
Warto dodać, iż oferowane w tym przypadku wsparcie Apple dla starszych modeli urządzeń na pewno jest pozytywnym faktem, przemawiającym na korzyść producenta.
Podatność zero-day w Google Chrome – CVE-2024-0519
Drugi zero-day mamy w Google Chrome. W ciągu ostatnich 30 dni Chrome otrzymał aż 11 różnych aktualizacji dla luk w zabezpieczeniach.
W nowej stabilnej wersji przeglądarki Chrome Google naprawił trzy luki bezpieczeństwa wpływające na silnik V8, w tym jedną zero-day (CVE-2024-0519) z istniejącym exploitem.
V8 to silnik JavaScript i WebAssembly typu open source opracowany przez Chromium Project dla przeglądarek internetowych Chromium i Google Chrome.
CVE-2024-0519 to luka w zabezpieczeniach umożliwiająca dostęp do pamięci poza dopuszczalnym zakresem. Może umożliwić osobie atakującej wykorzystanie uszkodzenia sterty za pośrednictwem specjalnie spreparowanej strony HTML.
Luka została oznaczona przez anonimowego badacza.
„Google wie o doniesieniach, że w środowisku naturalnym istnieje exploit dla CVE-2024-0519” – oświadczył zespół Chrome.
Pozostałe dwie wady silnika V8 załatane w najnowszej wersji przeglądarki Chrome na komputery Mac, Linux, Windows i Android to CVE-2024-0517 (błąd zapisu poza zakresem) i CVE-2024-0518 (błąd polegający na pomyleniu typów).
Użytkownicy Chrome, którzy ustawili przeglądarkę na automatyczną aktualizację, nie muszą podejmować żadnych działań, ale ci, którzy aktualizują ją ręcznie, powinni to zrobić jak najszybciej. (Ponieważ dni zerowe w przeglądarce Chrome są regularnie wykorzystywane, wybranie automatycznych aktualizacji nie jest złym pomysłem).
Podsumowanie i porady
Zarówno w przypadku Apple, jak i Chrome zalecamy aktualizację systemów, ponieważ są to luki typu zero-day. Oczywistym faktem jest, że należy spodziewać się wzrostu liczby ataków. Oprócz powyższego dla wszystkich użytkowników Apple polecamy nasze wcześniejsze wskazówki, jak uchronić się przed instalacją oprogramowania szpiegującego na telefonie.