Zprávy
Photo of Georgii Kucherenko Georgii Kucherenko Send an email 14.05.2024Poslední aktualizace: 14.05.2024
0 98 Doba čtení: 1 min

Další zero-day zranitelnost nalezená v zařízeních Apple se systémem iOS a macOS

Apple opravil dvě zero-day zranitelnosti používané při útocích na iPhone a Mac

Apple vydal nouzové aktualizace zabezpečení, které opravují dvě zranitelnosti zero-day, které byly použity při skutečných útocích na uživatele iPhone a Mac. Od začátku roku bylo opraveno celkem 13 zranitelností zero-day.

V bezpečnostním bulletinu Apple říká:

Apple ze zprávy ví, že tento problém by mohl být aktivně zneužit.

V rámcích Image I/O a Wallet byly objeveny chyby s ID CVE-2023-41064 a CVE-2023-41061. První z nich objevila společnost Citizen Lab a druhou společnost Apple.

Citizen Lab také zjistila, že zranitelnosti CVE-2023-41064 a CVE-2023-41061 byly aktivně využívány jako součást řetězce využívání bez kliknutí pro iMessage s názvem BLASTPASS. Tyto exploity byly použity k instalaci spywaru Pegasus společnosti NSO Group k pronájmu na plně opravené iPhony (se systémem iOS 16.6) prostřednictvím příloh PassKit obsahujících škodlivé obrázky.

  • CVE-2023-41064 je zranitelnost přetečení vyrovnávací paměti, ke které dochází při zpracování škodlivých obrázků a může vést ke spuštění libovolného kódu na neopravených zařízeních.
  • CVE-2023-41061 je problém ověření, který může vést ke spuštění libovolného kódu na cílových zařízeních prostřednictvím škodlivé přílohy.

Apple opravil zero-day zranitelnosti v macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 a watchOS 9.6.2 vylepšením logiky a práce s pamětí.

Seznam postižených zařízení je poměrně rozsáhlý a zahrnuje:

  • iPhone 8 a novější
  • iPad Pro (všechny modely), iPad Air 3. generace a novější, iPad 5. generace a novější, iPad mini 5. generace a novější
  • Počítače Mac se systémem macOS Ventura
  • Apple Watch Series 4 a novější
Zajímavé:  Vědci pojmenovali skladby, na které je nebezpečné jezdit autem –

Letos bylo opraveno již 13 zranitelností zero-day

Od začátku roku Apple opravil 13 zero-day zranitelností, které byly použity při skutečných útocích ke kompromitaci zařízení iOS, macOS, iPadOS a watchOS.

Před dvěma měsíci, v červenci, Apple vydal aktualizace Fast Threat Response, které řeší zranitelnost (CVE-2023-37450) ovlivňující plně aktualizované modely iPhone, Mac a iPad.

Společnost později potvrdila, že tyto aktualizace částečně rozbily webové prohlížeče na opravených zařízeních a vydala opravené verze oprav o dva dny později.

Dříve společnost odstranila:

  • Dvě zranitelnosti zero-day (CVE-2023-37450 a CVE-2023-38606) v červenci.
  • Tři zranitelnosti zero-day (CVE-2023-32434, CVE-2023-32435 a CVE-2023-32439) v červnu.
  • Tři zranitelnosti zero-day (CVE-2023-32409, CVE-2023-28204 a CVE-2023-32373) v květnu.
  • Dvě zranitelnosti zero-day (CVE-2023-28206 a CVE-2023-28205) v dubnu.
  • Další zranitelnost WebKit zero-day (CVE-2023-23529) v únoru.

Photo of Georgii Kucherenko Georgii Kucherenko Send an email 14.05.2024Poslední aktualizace: 14.05.2024
0 98 Doba čtení: 1 min

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

© Copyright 2024 | Kopírování materiálů z těchto stránek podléhá právnímu postihu. | Informace na webových stránkách mají pouze informativní charakter a nejsou stoprocentně spolehlivé.
Back to top button