W kwestiach bezpieczeństwa Apple nie ma ostatnio spokoju. Wykryto kolejne dwie luki typu zero-day w iOS i iPadOS 17.4. Na zagrożonych urządzeniach umożliwiają one cyberprzestępcom ominięcie zabezpieczeń pamięci oraz wykonanie dowolnego odczytu i zapisu w jądrze systemu.
24 stycznia pisaliśmy o ostatnich zero-dayach w Apple, a już mamy kolejne dwa. Lukom przypisano numery CVE-2024-23225 i CVE-2024-23296.
Firma Apple odniosła się do obu podatności w swoim ostatnim poradniku dotyczącym bezpieczeństwa i wydała łatki umożliwiające ich naprawienie. Oświadczyła również, że zna raport wskazujący, iż ugrupowania zagrażające mogły wykorzystać luki w środowisku naturalnym.
CVE-2024-23225: luka w zabezpieczeniach związana z arbitralnym odczytem/zapisem jądra
Luka występuje w jądrze iOS ze względu na problem z uszkodzeniem pamięci, który może pozwolić cyberprzestępcom na dowolny odczyt i zapis jądra z pominięciem jego zabezpieczeń. Jej waga nie została jeszcze określona.
Podatne produkty to wersje iPhone od XS do nowszych, iPad Pro 12,9 cali 2 generacji i nowsze, iPad Pro 10,5 cala, iPad Pro 11 cali 1 generacji i nowsze, iPad Air 3 generacji i nowsze, iPad 6 generacji i nowsze oraz iPad mini 5 generacji i nowsze.
CVE-2024-23296: luka w zabezpieczeniach jądra związana z arbitralnym odczytem/zapisem
Problem z uszkodzeniem pamięci w RTKit (zastrzeżonym systemie operacyjnym czasu rzeczywistego firmy Apple), który może również umożliwiać atakującym ominięcie zabezpieczeń pamięci jądra. RTKit jest rozpowszechniony na prawie wszystkich urządzeniach, w tym iPhonie, iPadzie i Apple Watch.
Luka jest podobna do wspomnianej wcześniej i pozwala podmiotom zagrażającym na dowolny odczyt/zapis w jądrze z pominięciem jego zabezpieczeń.
Jej waga również nie została jeszcze określona.
Podatne produkty to wersje iPhone od XS do nowszych, iPad Pro 12,9 cala 2 generacji i nowsze, iPad Pro 10,5 cala, iPad Pro 11 cali 1 generacji i nowsze, iPad Air 3 generacji i nowsze, iPad 6 generacji i nowsze oraz iPad mini 5 generacji i nowsze. Apple oświadczył, że zajął się tymi lukami, usprawniając weryfikację danych wejściowych.
Oprócz dwóch omówionych podatności zajęto się także lukami o numerach CVE-2024-23256 i CVE-2024-23243, powiązanymi z dostępnością i bezpiecznym przeglądaniem prywatnym.
Ważne informacje
Należy pamiętać, że twórcy mobilnego oprogramowania szpiegującego często wykorzystują dni zerowe w systemie iOS do obarczania celów złośliwym oprogramowaniem zdolnym do wydobywania wrażliwych danych z iPhone’ów i szpiegowania rozmów. Dobrym przykładem jest Pegasus. Na szczęście to bardzo drogie oprogramowanie szpiegujące jest skrupulatnie wykorzystywane do atakowania określonych celów, więc większość użytkowników nie musi się nim martwić.
Przy okazji polecamy zapoznać się z naszym artykułem zawierającym opis narzędzia do wykrywania złośliwego oprogramowania.
Warto pamiętać, że w Europie Apple został zmuszony do zezwolenia na publikację swoich aplikacji w sklepach innych niż Apple Store. Niesie to za sobą poważne konsekwencje, ponieważ w takich źródłach mogą znajdować się niesprawdzone, złośliwe aplikacje. Ugrupowania zagrażające rozwijają się i coraz częściej szukają złośliwego oprogramowania, które może działać w systemach iOS i macOS.
Jak zwykle zalecamy instalację na bieżąco najnowszych poprawek. Znacząco zwiększa to nasze szanse na uniknięcie cyberataków.