Η Apple κυκλοφόρησε επείγουσες ενημερώσεις ασφαλείας για να επιδιορθώσει ένα νέο κενό ασφαλείας μηδενικής ημέρας που αξιοποιείται σε επιθέσεις με στόχο χρήστες iPhone και iPad.
Η ευπάθεια (CVE-2023-42824) προκαλείται από μια αδυναμία που ανακαλύφθηκε στον πυρήνα XNU, η οποία επιτρέπει σε τοπικούς επιτιθέμενους να κλιμακώσουν τα προνόμιά τους σε iPhone και iPad που δεν έχουν επιδιορθωθεί.
Ενώ η Apple δήλωσε ότι αντιμετώπισε το ζήτημα ασφαλείας στο iOS 17.0.3 και στο iPadOS 17.0.3 με βελτιωμένους ελέγχους, δεν έχει αποκαλύψει ακόμη ποιος βρήκε και ανέφερε το ελάττωμα.
Ο κατάλογος των επηρεαζόμενων συσκευών είναι αρκετά εκτενής και περιλαμβάνει:
- iPhone XS και νεότερα μοντέλα
- iPad Pro 12,9 ιντσών 2ης γενιάς και μεταγενέστερα, iPad Pro 10,5 ιντσών, iPad Pro 11 ιντσών 1ης γενιάς και μεταγενέστερα, iPad Air 3ης γενιάς και μεταγενέστερα, iPad 6ης γενιάς και μεταγενέστερα και iPad mini 5ης γενιάς και μεταγενέστερα.
Η Apple αντιμετώπισε επίσης μια μηδενική ημέρα που εντοπίζεται ως CVE-2023-5217 και προκαλείται από μια αδυναμία υπερχείλισης buffer σωρού στην κωδικοποίηση VP8 της βιβλιοθήκης κωδικοποίησης βίντεο ανοικτού κώδικα libvpx, η οποία θα μπορούσε να επιτρέψει την εκτέλεση αυθαίρετου κώδικα μετά από επιτυχή εκμετάλλευση.
Το σφάλμα libvpx είχε επιδιορθωθεί προηγουμένως από την Google στο πρόγραμμα περιήγησης ιστού Chrome και από τη Microsoft στα προϊόντα Edge, Teams και Skype.
Το CVE-2023-5217 ανακαλύφθηκε από τον ερευνητή ασφαλείας Clément Lecigne, ο οποίος ανήκει στην Ομάδα Ανάλυσης Απειλών (TAG) της Google, μια ομάδα εμπειρογνωμόνων ασφαλείας που είναι γνωστή για τη συχνή εύρεση zero-days που χρησιμοποιούνται καταχρηστικά σε κυβερνητικά υποστηριζόμενες στοχευμένες επιθέσεις κατασκοπευτικού λογισμικού που στοχεύουν άτομα υψηλού κινδύνου.
17 zero-days που αξιοποιήθηκαν σε επιθέσεις, διορθώθηκαν φέτος
Το CVE-2023-42824 είναι η 17η ευπάθεια μηδενικής ημέρας που αξιοποιείται σε επιθέσεις και την οποία η Apple έχει διορθώσει από την αρχή του έτους.
Η Apple επιδιόρθωσε επίσης πρόσφατα τρία άλλα σφάλματα μηδενικής ημέρας (CVE-2023-41991, CVE-2023-41992 και CVE-2023-41993) που αναφέρθηκαν από ερευνητές των Citizen Lab και Google TAG και αξιοποιήθηκαν σε επιθέσεις spyware για την εγκατάσταση του spyware Predator της Cytrox.
Η Citizen Lab αποκάλυψε δύο άλλα zero-day (CVE-2023-41061 και CVE-2023-41064) -που διορθώθηκαν από την Apple τον περασμένο μήνα- και χρησιμοποιήθηκαν ως μέρος μιας αλυσίδας εκμετάλλευσης μηδενικού κλικ (που ονομάστηκε BLASTPASS) για να μολύνουν πλήρως επιδιορθωμένα iPhones με το spyware Pegasus της NSO Group.
Από τον Ιανουάριο του 2023, η Apple έχει αντιμετωπίσει συνολικά 17 zero-days που αξιοποιήθηκαν για να στοχεύσουν iPhones και Mac, μεταξύ των οποίων:
- δύο zero-days (CVE-2023-37450 και CVE-2023-38606) τον Ιούλιο
- τρία zero-days (CVE-2023-32434, CVE-2023-32435 και CVE-2023-32439) τον Ιούνιο
- τρία ακόμη zero-days (CVE-2023-32409, CVE-2023-28204 και CVE-2023-32373) τον Μάιο
- δύο zero-days (CVE-2023-28206 και CVE-2023-28205) τον Απρίλιο
- και μια άλλη μηδενική ημέρα του WebKit (CVE-2023-23529) τον Φεβρουάριο
Η σημερινή έκδοση iOS 17.0.3 αντιμετωπίζει επίσης ένα γνωστό πρόβλημα που προκαλεί υπερθέρμανση των iPhones με iOS 17.0.2 και νεότερες εκδόσεις.
Ο Anastasis είναι ένας από τους κορυφαίους αρθρογράφους μας, ειδικευμένος σε θέματα κυβερνοασφάλειας.
Με την εμπειρία του, παρέχει στην κοινότητα πολύτιμες γνώσεις και συμβουλές.