Η Apple κυκλοφόρησε ενημερώσεις ασφαλείας με σκοπό να διορθώσει μια zero-day ευπάθεια, που μπορεί να χρησιμοποιηθεί για επιθέσεις κατά iPhone και Mac. Στα security advisories που δημοσίευσε τη Δευτέρα, η εταιρεία αποκάλυψε ότι έχει λάβει αναφορές που υποστηρίζουν ότι πιθανότατα γίνεται ενεργή εκμετάλλευση της zero-day ευπάθειας.
Το σφάλμα παρακολουθείται ως CVE-2022-32917 και μπορεί να επιτρέπει σε εφαρμογές που έχουν δημιουργηθεί με κακόβουλο τρόπο, να εκτελούν κώδικα με kernel privileges.
Η Apple έμαθε για την ευπάθεια από έναν ανώνυμο ερευνητή, και έχει διορθωθεί στα iOS 15.7 και iPadOS 15.7, macOS Monterey 12.6 και macOS Big Sur 11.7 με βελτιωμένα bounds checks.
Ποιες συσκευές της Apple επηρεάζονται από τη νέα zero-day ευπάθεια:
- iPhone 6s και μεταγενέστερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 2 και μεταγενέστερα μοντέλα, iPad 5ης γενιάς και μεταγενέστερα μοντέλα, iPad mini 4 και μεταγενέστερα, iPod touch (7ης γενιάς)
- και Mac με macOS Big Sur 11.7 και macOS Monterey 12.6
Η Apple υπέβαλε επίσης ενημερωμένες εκδόσεις κώδικα για άλλη μια ευπάθεια zero-day (CVE-2022-32894) σε Mac που εκτελούν macOS Big Sur 11.7, μετά την κυκλοφορία πρόσθετων ενημερώσεων ασφαλείας στις 31 Αυγούστου για την αντιμετώπιση του ίδιου σφάλματος σε εκδόσεις iOS που εκτελούνται σε παλαιότερα iPhone και iPad.
Εφαρμόστε τις ενημερώσεις για να διατηρήσετε iPhone και Mac ασφαλή
Όπως είπαμε και παραπάνω, λέγεται ότι γίνεται ενεργή εκμετάλλευση αυτής της ευπάθειας, αλλά η Apple δεν έδωσε πληροφορίες σχετικά με τις επιθέσεις. Προφανώς θέλει να δώσει χρόνο στους χρήστες να εφαρμόσουν τις ενημερώσεις στις συσκευές τους, προτού άλλοι εισβολείς αναπτύξουν τα δικά τους exploits και αρχίσουν να τα αναπτύσσουν σε επιθέσεις που στοχεύουν ευάλωτα iPhone και Mac.
Η εταιρεία συνιστά την άμεση ενημέρωση των ευάλωτων συσκευών, ώστε να αποκλειστούν οποιεσδήποτε απόπειρες επίθεσης.
Αυτή είναι η όγδοη zero-day ευπάθεια που διορθώνει η Apple από την αρχή του 2022:
- Τον Ιανουάριο, η Apple διορθώθηκε άλλα δύο zero-day bugs που επέτρεπαν την εκτέλεση κώδικα με kernel privileges (CVE-2022-22587) και την παρακολούθηση δραστηριότητας περιήγησης στον ιστό (CVE-2022-22594).
- Τον Φεβρουάριο, η εταιρεία κυκλοφόρησε ενημερώσεις ασφαλείας για να διορθώσει ένα άλλο σφάλμα του WebKit που αξιοποιήθηκε σε επιθέσεις κατά iPhone, iPad και Mac.
- Τον Μάρτιο, διορθώθηκαν δύο σφάλματα zero-day στο Intel Graphics Driver (CVE-2022-22674) και το AppleAVD (CVE-2022-22675).
- Τον Αύγουστο, διόρθωσε δύο ευπάθειες zero-day στο iOS Kernel (CVE-2022-32894) και στο WebKit (CVE-2022-32893).
