Ďalšie zero-day zraniteľnosti v Apple

novinky

Spoločnosť Apple vydala opravu ďalších zero-day zraniteľností, ktoré môžu byť zreťazené a zneužité na útoky pomocou falošných SMS a WhatsApp správ. Zraniteľnosti CVE-2023-41991, CVE-2023-41992 a CVE-2023-41993 umožňujú útočníkovi obísť overenie certifikátu, zvýšiť oprávnenia a dosiahnuť vzdialené vykonávanie kódu.

Zraniteľné systémy:

iOS 17.0.1 a iPadOS 17.0.1 – iPhone XS a staršie, iPad Pro 2. generácia a staršie, iPad Pro, iPad Pro 1. generácia a staršie, iPad Air 3. generácia a staršie, iPad 6. generácia a staršie, iPad mini 5. generácia a staršie

iOS 16.7 a iPadOS 16.7 – iPhone 8 a staršie, iPad Pro, iPad Air 3. generácia a staršie, iPad 5. generácia a staršie a iPad mini 5. generácia a staršie

macOS Monterey 12.7 a macOS Ventura 13.6

watchOS 9.6.3 a watchOS 10.0.1 – Apple Watch 4 a staršie

Safari 16.6.1 – macOS Big Sur a macOS Monterey

Opis činnosti:

CVE-2023-41993 (CVSS skóre 9,8)

CVE-2023-41992 (CVSS skóre 7,8)

CVE-2023-41991 (CVSS skóre 5,5)

Zraniteľnosti CVE-2023-41991, CVE-2023-41992 a CVE-2023-41993 umožňujú útočníkovi obísť overenie certifikátu, zvýšiť oprávnenia a dosiahnuť vzdialené vykonávanie kódu. Zreťazenie týchto zraniteľností dáva možnosť automatického spustenia škodlivého súboru po presmerovaní a tým kompromitovať zariadenie. Zraniteľnosti boli aktívne zneužívané na útoky pomocou falošných SMS a WhatsApp správ.

Kritická zraniteľnosť CVE-2023-41993 sa nachádza v prehliadači Safari a týka sa vykonávania vzdialeného kódu pomocou škodlivých webových stránok.

Zraniteľnosť CVE-2023-41992 je chyba jadra, ktorá dovoľuje útočníkovi zvýšiť svoje oprávnenia.

CVE-2023-41991 v platforme Security umožňuje škodlivým aplikáciám obchádzať overenie podpisu.

Závažnosť zraniteľnosti: Kritická

Možné škody:

  • Eskalácia privilégií
  • Vzdialené vykonávanie kódu
  • Kompromitácia dôvernosti, dostupnosti a integrity systému

Odporúčania:

Odporúčame bezodkladnú aktualizáciu:

  • Safari na verziu 16.6.1
  • iPhone XS a staršie, iPad Pro 2. generácia a staršie, iPad Pro, iPad Pro 1. generácia, iPad Air 3. generácia a staršie, iPad 6. generácia a staršie a iPad mini 5. generácia a staršie na verziu iOS 17.0.1 a iPadOS 17.0.1
  • iPhone 8 a staršie, iPad Pro, iPad Air 3. generácia a staršie, iPad 5. generácia a staršie a iPad mini 5. generácia a staršie na verziu iOS 16.7 a iPadOS 16.7
  • Apple Watch 4 a staršie na verziu watchOS 10.0.1
  • macOS Ventura na verziu 13.6
  • macOS Monterey na verziu 12.7

Odkazy:

https://thehackernews.com/2023/09/apple-rushes-to-patch-3-new-zero-day.html

https://www.bleepingcomputer.com/news/security/recently-patched-apple-chrome-zero-days-exploited-in-spyware-attacks/

https://blog.google/threat-analysis-group/0-days-exploited-by-commercial-surveillance-vendor-in-egypt/

https://arcticwolf.com/resources/blog/cve-2023-41991-41992-41993/

Zdroj: csirt.gov.sk