Oprogramowanie

Apple donosi o 2 dniach zerowych dla iOS, które pozwoliły hakerom na przejęcie w pełni załatanych urządzeń

Pięć iPhone'ów na stole
Powiększać / Oferta iPhone’ów na rok 2020. Od lewej do prawej: iPhone 12 Pro Max, iPhone 12 Pro, iPhone 12, iPhone SE i iPhone 12 mini.

Tydzień po tym, jak Apple wydało swoją największą aktualizację iOS i iPadOS od wydania wersji 14.0 we wrześniu ubiegłego roku, firma wydała nową aktualizację, aby załatać dwa dni zerowe, które umożliwiły atakującym wykonywanie złośliwego kodu na w pełni aktualnych urządzeniach. Poniedziałkowe wydanie wersji 14.5.1 rozwiązuje również problemy z błędem w nowo wydanej funkcji Przejrzystości śledzenia aplikacji, która została wprowadzona w poprzedniej wersji.

Obie luki znajdują się w Webkit, silniku przeglądarki, który renderuje treści internetowe w Safari, Mail, App Store i innych wybranych aplikacjach działających na iOS, macOS i Linux. CVE-2021-30663 i CVE-2021-30665, jako że śledzone są dni zerowe, zostały już załatane. W zeszłym tygodniu Apple naprawiło CVE-2021-30661, kolejną lukę w wykonaniu kodu w iOS Webkit, która również mogła być aktywnie wykorzystywana.

„Przetwarzanie złośliwie spreparowanej zawartości internetowej może prowadzić do wykonania dowolnego kodu” – powiedział Apple w swoich uwagach bezpieczeństwa, odnosząc się do luk. „Firma Apple wie o raporcie, że ten problem mógł być aktywnie wykorzystywany”.

CVE-2021-30665 zostało odkryte przez badaczy z chińskiej firmy bezpieczeństwa Qihoo 360. Druga luka została odkryta przez anonimowe źródło. Firma Apple nie podała żadnych szczegółów dotyczących tego, kto korzysta z exploitów lub kto jest ich celem.

Pożądany przez czarne kapelusze, obawiający się obrońców

Według danych zespołu Google zajmującego się badaniem luk w Project Zero, trzy ostatnio załatane luki w iOS zwiększają liczbę zerowych dni aktywnie wykorzystywanych przeciwko użytkownikom iOS do siedmiu. Przy łącznej liczbie 22 dni zerowych znalezionych do tej pory w 2021 r., Osoby korzystające z mobilnego systemu operacyjnego Apple stanowią prawie 33 procent z nich. To sprawia, że ​​iOS jest drugim najbardziej docelowym oprogramowaniem przez zero-days w tym roku, za Chrome, który ma osiem.

Zero dni są bardzo pożądane przez czarne kapelusze i obawiają się ich obrońców, ponieważ są nieznane twórcom podatnego oprogramowania i ogółowi społeczeństwa. Oznacza to, że osoby, które odkryją luki w zabezpieczeniach, mogą je wykorzystać do włamania się do w pełni aktualnych urządzeń, często z niewielkim lub żadnym wykrywaniem.

Oddzielnie, 14.5 naprawia błąd, który uniemożliwiał niektórym użytkownikom wyświetlanie monitów o przejrzystości aplikacji.

„Ta aktualizacja rozwiązuje problem z przejrzystością śledzenia aplikacji, w wyniku którego niektórzy użytkownicy, którzy wcześniej wyłączyli opcję Zezwalaj aplikacjom na żądanie śledzenia w Ustawieniach, mogą nie otrzymywać monitów z aplikacji po ponownym włączeniu” – mówi opis aktualizacji. „Ta aktualizacja zawiera również ważne aktualizacje zabezpieczeń i jest zalecana dla wszystkich użytkowników”.

Firma Apple wprowadziła przejrzystość śledzenia aplikacji w wydaniu iOS 14.5 z zeszłego tygodnia. Dodatek spowodował, że Facebook został przeniesiony, ponieważ uniemożliwia aplikacji firmy śledzenie aktywności użytkowników w innych aplikacjach, które użytkownicy zainstalowali bez wyraźnej zgody. Drugi błąd może spowodować, że przełącznik przezroczystości śledzenia aplikacji w menu ustawień będzie wyszarzony. Istnieje wiele doniesień, że przełącznik pozostaje nieaktywny dla wielu użytkowników, nawet po aktualizacji do iOS 14.5.1. Przedstawiciele Apple nie od razu odpowiedzieli na prośbę o komentarz.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook