Spoločnosť Apple vydala opravu zraniteľností CVE-2023-38606 a CVE-2023-37450, ktoré môže viesť ku vzdialenému vykonávaniu kódu. Chyby sa týkajú zariadení so systémom iOS, macOS, watchOS a webového prehliadača Safari. CVE-2023-37450 sa vyskytuje vo frameworku WebKit. Používateľom je odporúčané nainštalovať si najnovšie dostupné aktualizácie.
Zraniteľné systémy:
iOS 16.6 a iPadOS 16.6 – iPhone 8 a novšie verzie
iPad Pro (všetky modely), iPad Air 3. generácie a novšie, iPad 5. generácie a novšie a iPad mini 5. generácie a novšie verzie
iOS 15.7.8 a iPadOS 15.7.8 – iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
macOS Ventura 13.5, macOS Monterey 12.6.8 a macOS Big Sur 11.7.9
tvOS 16.6 – Apple TV 4K (všetky modely) a Apple TV HD
watchOS 9.6 – Apple Watch 4 a novšie verzie
Opis činnosti:
Spoločnosť Apple vyriešila celkovo 11 zero-day zraniteľností ovplyvňujúcich jej softvér od začiatku roka 2023. Medzi týmito zraniteľnosťami je aj oprava zraniteľnosti CVE-2023-37450 frameworku WebKit v prehliadači, ktorá môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple oznámila, že vie o hlásení aktívneho zneužitia tejto zraniteľnosti. Začiatkom tohto mesiaca spoločnosť Apple vydala núdzové aktualizácie Rapid Security Response (RSR) na opravu zraniteľnosti (CVE-2023-37450), ktorá ovplyvňuje plne zabezpečené iPhony, počítače Mac a iPady.
CVE-2023-38606 je zero-day zraniteľnosť, ktorá bola využitá v útokoch na zariadeniach s predošlými verziami operačného systému iOS vydaných pred verziou iOS 15.7.1. Táto chyba sa nachádza v jadre a umožňuje škodlivým aplikáciám upravovať citlivý stav v jadre. Ide o súčasť zero-click exploitu, ktorý sa využíva ku šíreniu špionážneho softvéru Triangulation prostredníctvom chyby v aplikácií iMessage na iPhony.
Predtým spoločnosť Apple tiež riešila:
tri zero-day zraniteľnosti (CVE-2023-32434, CVE-2023-32435 a CVE-2023-32439) v júni
tri ďalšie zero-day zraniteľnosti (CVE-2023-32409, CVE-2023-28204 a CVE-2023-32373) v máji
dve zero-day zraniteľnosti (CVE-2023-28206 a CVE-2023-28205) v apríli
a ďalšiu zero-day zraniteľnosť WebKitu (CVE-2023-23529) vo februári.
Závažnosť zraniteľnosti: Vysoká
Možné škody:
- Vykonávanie ľubovoľného kódu
- Vzdialené vykonávanie kódu
- Kompromitácia systému
Odporúčania:
Odporúčame bezodkladnú inštaláciu najnovších dostupných aktualizácii.
Odkazy:
https://thehackernews.com/2023/07/apple-rolls-out-urgent-patches-for-zero.html
https://support.apple.com/en-us/HT213841
Zdroj: csirt.gov.sk