Spoločnosť Apple vydala opravu dvoch zero-day zraniteľností CVE-2023-42824 a CVE-2023-5217, ktoré môžu viesť k eskalácii oprávnení a vzdialenému vykonávaniu kódu. Na kritickú zraniteľnosť CVE-2023-5217, ktorá sa týka pretečenia medzipamäte v komponente WebRTC, poukázala spoločnosť Google. Používateľom odporúčame nainštalovať si najnovšie dostupné aktualizácie.
Zraniteľné systémy:
- Iphone XS a staršie
- iPad Pro 2. generácia a staršie, iPad Pro, iPad Pro 1. generácia a staršie, iPad Air 3. generácia a staršie, iPad 6. generácia a staršie a iPad mini 5. generácia a staršie
Opis činnosti:
CVE-2023-5217 (CVSS skóre 8,8)
Kritická zero-day zraniteľnosť CVE-2023-5217, ktorú spoločnosť Google definovala ako pretečenie medzipamäte v halde, sa nachádza v API komponente WebRTC. Úspešné zneužitie zraniteľnosti kompresného formátu VP8 v knižnici libvpx umožňuje vykonávanie ľubovoľného kódu.
CVE-2023-42824 (CVSS skóre 7,8)
Zraniteľnosť CVE-2023-42824 sa nachádza v jadre XNU a umožňuje lokálne zvýšiť oprávnenia na zariadeniach iPhone a iPad. Spoločnosť Apple uvádza vyriešenie chyby pomocou vylepšenia kontroly.
Obidve zero-day zraniteľnosti boli aktívne zneužívané.
Závažnosť zraniteľnosti: Vysoká
Možné škody:
- Eskalácia privilégií
- Vykonávanie ľubovoľného kódu
Odporúčania:
Bezodkladná aktualizácia na najnovšiu verziu iOS a iPadOS. Zraniteľnosti boli opravené vo verzii 17.0.3.
Odkazy:
https://thehackernews.com/2023/10/apple-rolls-out-security-patches-for.html
https://support.apple.com/en-us/HT213961
https://www.helpnetsecurity.com/2023/10/05/cve-2023-42824/
Zdroj: csirt.gov.sk
