Η Apple κυκλοφόρησε κάποιες
ενημερώσεις
ασφαλείας
για να διορθώσει μια
ευπάθεια
zero-day την οποία εκμεταλλεύονται ενεργά οι χάκερ για να εισβάλλουν σε iPhone και Mac που χρησιμοποιούν παλαιότερες εκδόσεις iOS και macOS.
Το zero-day που διορθώθηκε σήμερα (αναφέρεται ως CVE-2021-30869) βρέθηκε στον πυρήνα του λειτουργικού συστήματος XNU και αναφέρθηκε από τους Erye Hernandez και Clément Lecigne της Google Threat Analysis Group και Ian Beer του Google Project Zero.
Δείτε επίσης:
VMware: Κρίσιμο bug στα προεπιλεγμένα installs του Server vCenter
Το επιτυχές exploitation αυτού του σφάλματος οδηγεί σε αυθαίρετη εκτέλεση
κώδικα
με
δικαιώματα
kernel σε παραβιασμένες συσκευές.
“Η Apple γνωρίζει μια αναφορά ότι αυτό το ζήτημα μπορεί να έχει χρησιμοποιηθεί ενεργά”, είπε η Apple περιγράφοντας το σφάλμα zero-day.
Ο πλήρης κατάλογος των συσκευών που επηρεάζονται περιλαμβάνει:
- iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 και iPod touch (6ης γενιάς) με iOS 12.5.5
-
και Mac με
ενημέρωση
ασφαλείας
2021-006 Catalina.
Η Apple έκανε και backporting σε
ενημερώσεις
ασφαλείας
για δύο
zero-day
ευπάθειες
που είχαν προηγουμένως επιδιορθωθεί, μία από τις οποίες αναφέρθηκε από το The Citizen Lab και χρησιμοποιήθηκε για την
ανάπτυξη
NSO Pegasus spyware σε παραβιασμένες συσκευές.
Δείτε επίσης:
Microsoft Exchange
Autodiscover: Bugs διαρρέουν Windows credentials
Εκτός από το σημερινό zero-day σφάλμα, η Apple έπρεπε να αντιμετωπίσει μια ατελείωτη ροή σφαλμάτων zero-day που χρησιμοποιούνται σε
επιθέσεις
που στοχεύουν σε
συσκευές iOS
και macOS:
-
δύο
ευπάθειες
zero-days νωρίτερα αυτόν τον μήνα, μία από αυτές χρησιμοποιήθηκε επίσης για την εγκατάσταση του spyware Pegasus σε iPhone, - το exploit FORCEDENTRY που αποκαλύφθηκε τον Αύγουστο,
- τρία zero-day iOS (CVE-2021-1870, CVE-2021-1871, CVE-2021-1872) τον Φεβρουάριο, που χρησιμοποιήθηκε ενεργά,
- ένα zero-day iOS (CVE-2021-1879) τον Μάρτιο που μπορεί επίσης να έχει χρησιμοποιηθεί ενεργά,
- ένα zero-day στο iOS (CVE-2021-30661) και ένα στο macOS (CVE-2021-30657) τον Απρίλιο, εκμεταλλευόμενη από κακόβουλο λογισμικό Shlayer,
- τρία άλλα zero-day iOS (CVE-2021-30663, CVE-2021-30665 και CVE-2021-30666) τον Μάιο, σφάλματα που επιτρέπουν την αυθαίρετη εκτέλεση απομακρυσμένου κώδικα (RCE) απλά με επίσκεψη σε κακόβουλους ιστότοπους,
- ένα macOS zero-day(CVE-2021-30713) τον Μάιο,
- δύο σφάλματα zero-day iOS (CVE-2021-30761 και CVE-2021-30762) τον Ιούνιο που “μπορεί να έχουν χρησιμοποιηθεί ενεργά” για να χακάρουν παλαιότερες συσκευές iPhone, iPad και iPod.
Δείτε επίσης:
iOS 15 bug: Δεν λειτουργεί ο ήχος στα Instagram Stories
Πηγή πληροφοριών: bleepingcomputer.com
Related Posts
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.