December 11-én az Apple több tucat sebezhetőséghez adott ki javításokat, amelyek iPhone-okat, Mac-eket, Apple TV-ket, Apple Watcheket és Safari böngészőjét érintik.
A hosszú lista 39 sebezhetőséget tartalmaz a macOS Sonoma 14.2-es verziójában.
Ezek közé tartozik a CVE-2023-42914, egy kernelprobléma, amely lehetővé teszi az alkalmazások számára, hogy kitörjenek a homokozójukból; CVE-2023-42894, egy AppleEvents probléma, amely megnyitja az ajtót az alkalmazások számára, hogy engedély nélkül hozzáférjenek a felhasználó névjegyeihez; és két, a Safari Webkitre jellemző CVE – egy tetszőleges kódvégrehajtási hiba, CVE-2023-42890; és egy szolgáltatásmegtagadási hiba, CVE-2023-42883.
A hétfői frissítések egy tucat új javítást is tartalmaztak az iOS és az iPadOS 17.2-ben, amelyek közül nyolc egyaránt vonatkozik a 16.7.3-as verzióra.
Ide tartozik a CVE-2023-42922, amely lehetővé tehette az alkalmazások számára, hogy érzékeny helyadatokat olvassanak be a FindMy szolgáltatáson keresztül; CVE-2023-42923, amely lehetővé teszi a privát böngészési lapokhoz való hitelesítés nélküli hozzáférést; és a CVE-2023-42897, amelyet a Texasi Egyetem hallgatója fedezett fel, és amelyben egy eszközhöz fizikailag hozzáférő támadó képes volt kihasználni a Siri előnyeit érzékeny felhasználói adatok megszerzésére.
Figyelemre méltó CVE-k az Apple Watchban, Bluetoothban
A Webkit két sebezhetőségét, amelyeket korábban iPhone-on, iPad-en és Macbookon javítottak ki, december 11-től az Apple Watches számára is kijavították. CVE-2023 42916-, 6.5 „Közepes” CVSS pontszámot kapott, és CVE-2023 42917- — 8.8 „Magas” – mindkettő „lehetővé teszi a támadók számára, hogy érzékeny információkhoz férhessenek hozzá határon túli beolvasáson keresztül, és távoli kódvégrehajtást (RCE) hajtsanak végre a memóriasérülésen keresztül, rosszindulatú weboldalakon keresztül” – magyarázza Mike Walters, az Action1 elnöke és társalapítója.
Az Apple megjegyezte, hogy ezeket a biztonsági réseket az iOS 16.7.1 előtti verzióiban használták ki. „A kutató korábbi munkáját figyelembe véve – mondja Walters a felfedezésükért felelős Google TAG elemzőről – ez arra utal, hogy kémprogramokhoz vagy APT-hez kapcsolódnak. Azonban a szokásos módon az eladó nem hozza nyilvánosságra ezeket az információkat."
Egy másik sor, amelyről a közelmúltban került sor, a CVE-2023-45866, a macOS-t és az iOS-t, valamint a Linuxot és az Androidot érintő hitelesítési megkerülési sebezhetőség.
Először még augusztus elején jelentették az eladóknak, és a múlt héten nyilvánosságra került, ez a CVE csak akkor érinti az Apple eszközöket, ha a Bluetooth be van kapcsolva, és párosítva vannak egy Magic Keyboarddal. Ilyen esetekben azonban egy szabványos Bluetooth-adapterrel rendelkező Linux-számítógépen a támadó billentyűleütéseket injektálhat a megcélzott eszközre, és minden olyan műveletet végrehajthat, amelyet az áldozat megtehet, a hitelesítési akadályok helyett.
A RedHat a CVE-2023-45866-hoz 7.1-es CVSS-pontszámot adott, „Magas” súlyosságúnak minősítve.
Egy GitHub ReadME-ben– kesergett a felfedezésért felelős kutató a Bluetooth-eszközöket érintő tartós biztonsági problémák. „Egyelőre nem tudom, milyen vezeték nélküli billentyűzetet ajánljak” – írta. "Ha ezt olvassa, és biztonságos vezeték nélküli billentyűzetet készít, küldjön nekem egyet, hogy feltörhessem."
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/endpoint-security/dozens-bugs-patched-apple-tv-watch-mac-iphone