Apple je objavio ažuriranja za dvije Zero-Day ranjivosti koje su korištene za napad na iPhone, iPad i Mac uređaje.
“Apple je svjestan izvještaja da su ovi problemi možda bili aktivno iskorištavani” napisao je tehnološki gigant u sigurnosnom savjetu objavljenom prošlog petka.
Prva zakrpljena mana (CVE-2023-28206) je problem sa IOSurfaceAccelerator-om izvan granica pisanja, koji potencijalno omogućava aplikaciji da izvrši proizvoljni kod s privilegijama kernela. Apple je rekao da je problem riješen poboljšanom provjerom unosa.
“Okvir IOSurfaceAccelerator-a koriste mnoge iOS i MacOS aplikacije koje zahtijevaju grafičku obradu visokih performansi, kao što su video uređivači, igre i aplikacije proširene stvarnosti” objasnio je Krishna Vishnubhotla, potpredsjednik strategije proizvoda u Zimperium-u.
“Budući da IOSurfaceAccelerator pruža pristup na niskom nivou grafičkim hardverskim resursima, iskorištavanje ranjivosti u okviru može dati napadaču mogućnost da manipuliše grafičkim resursima, presretne ili modifikuje podatke ili čak uzrokuje pad uređaja.”
Druga ranjivost (CVE-2023-28205) je mana WebKit-a bez upotrebe koja omogućava oštećenje podataka ili proizvoljno izvršenje koda prilikom ponovnog korištenja oslobođene memorije. Apple je rekao da je ispravio grešku poboljšanim upravljanjem memorijom.
“WebKit je osnovna softverska komponenta macOS-a i iOS-a, odgovorna je za prikazivanje web stranica i izvršavanje JavaScript koda u Safari web pretraživaču i drugim aplikacijama koje koriste WebKit” rekao je Vishnubhotla.
“Iskorišćavanje ranjivosti u WebKit-u moglo bi omogućiti napadačima da preuzmu kontrolu nad mogućnostima pretraživanja web uređaja i ukradu osjetljive korisničke podatke, kao što su kredencijale za prijavu i druge lične informacije. To bi takođe moglo omogućiti napadačima da ubace maliciozni kod na web stranice ili pokrenu phishing napade kako bi prevarili korisnike da otkriju osjetljive informacije.”
Obe ranjivosti utiču na macOS Ventura 13.3.1 i iOS i iPadOS 16.4.1 uređaje. Apple je za njihovo otkriće pripisao zasluge Clémentu Lecigneu iz Google-ove grupe za analizu pretnji i Donnchi Ó Cearbhaill iz sigurnosne laboratorije Amnesty Internationala.
„Apple ovde brzo reaguje, što je dobro, posebno sa dokazima da se ove ranjivosti iskorištavaju u divljini“ prokomentarisao je Mike Parkin, viši tehnički inženjer u Vulcan Cyber-u.
“Zanimljivo je da je Laboratorija za bezbjednost Amnesty International-a bila jedna od organizacija koja je bila uključena u pronalaženje i prijavljivanje problema. Iako Apple nije mnogo rekao o eksploataciji, čini se vjerojatnim, s obzirom na izvješćivanje i raniju istoriju, da su eksploatacije upotrijebili hakeri na državnom nivou.”
Apple savjet dolazi nekoliko dana nakon što je Google upozorio korisnike Android-a na komercijalne prodavce špijunskog softvera koji iskorištavaju Zero-Day propuste na mobilnim uređajima.
Izvor: Infosecurity Magazine