Η Apple κυκλοφόρησε ενημερώσεις ασφαλείας την Πέμπτη για να αντιμετωπίσει δύο ευπάθειες Zero Day που εκμεταλλεύονται οι εισβολείς για να χακάρουν iPhone, iPad και Mac.
Τα σφάλματα ασφαλείας Zero-day είναι ελαττώματα που ο προμηθευτής λογισμικού δεν γνωρίζει και δεν έχει επιδιορθώσει. Σε ορισμένες περιπτώσεις, έχουν επίσης διαθέσιμα στο κοινό εκμεταλλεύσεις απόδειξης ιδέας ή μπορεί να αποτελέσουν αντικείμενο ενεργητικής εκμετάλλευσης στη φύση.
Στην ασφάλεια Συμβουλές που δημοσιεύθηκαν σήμερα, η Apple είπε ότι γνωρίζει αναφορές ότι τα ζητήματα “μπορεί να έχουν γίνει ενεργά εκμετάλλευση”.
Τα δύο ελαττώματα είναι ένα πρόβλημα εγγραφής εκτός ορίων (CVE-2022-22674) στο πρόγραμμα οδήγησης γραφικών Intel που επιτρέπει στις εφαρμογές να διαβάζουν τη μνήμη του πυρήνα και ένα πρόβλημα ανάγνωσης εκτός ορίων (CVE-2022-22675) στο AppleAVD αποκωδικοποιητής πολυμέσων που θα επιτρέπει στις εφαρμογές να εκτελούν αυθαίρετο κώδικα με δικαιώματα πυρήνα.
Τα σφάλματα αναφέρθηκαν από ανώνυμους ερευνητές και επιδιορθώθηκαν από την Apple σε iOS 15.4.1, iPadOS 15.4.1 και macOS Monterey 12.3.1 με βελτιωμένη επικύρωση εισόδου και έλεγχο ορίων, αντίστοιχα.
Η λίστα των συσκευών που επηρεάστηκαν περιλαμβάνει:
- Mac με macOS Monterey
- iPhone 6s και μεταγενέστερο
- iPad Pro (όλα τα μοντέλα), iPad Air 2 και μεταγενέστερα, iPad 5ης γενιάς και μεταγενέστερα, iPad mini 4 και μεταγενέστερα και iPod touch (7ης γενιάς).
Η Apple αποκάλυψε την ενεργή εκμετάλλευση στη φύση, ωστόσο, δεν έδωσε στη δημοσιότητα πρόσθετες πληροφορίες σχετικά με αυτές τις επιθέσεις.
Η απόκρυψη αυτών των πληροφοριών πιθανότατα έχει σχεδιαστεί για να επιτρέψει στις ενημερώσεις ασφαλείας να φτάσουν όσο το δυνατόν περισσότερα iPhone, iPad και Mac προτού οι φορείς απειλής μάθουν τις λεπτομέρειες και αρχίσουν να κάνουν κατάχρηση των επιδιορθωμένων πλέον Zero Days.
Παρόλο που αυτές οι Zero Days πιθανότατα χρησιμοποιήθηκαν μόνο σε στοχευμένες επιθέσεις, συνιστάται ανεπιφύλακτα να εγκαταστήσετε τις σημερινές ενημερώσεις ασφαλείας το συντομότερο δυνατό για να αποκλείσετε πιθανές απόπειρες επίθεσης.