Компанія CISA попередила, що виправлений недолік безпеки ядра, який впливає на iPhone, Mac, телевізори та годинники, зараз активно використовується в атаках, повідомляє BleepingComputer.
Відстежувана як CVE-2022-48618 і виявлена дослідниками безпеки Apple, ця помилка була розкрита лише 9 січня в оновленні порад з безпеки, опублікованому у грудні 2022 року.
Компанія ще не розповіла, чи була вразливість також тихо виправлена більше 2 років тому, коли вперше було видано попередження.
«Зловмисник із можливістю довільного читання та запису може обійти автентифікацію за вказівником. Apple відомо про звіт щодо того, що ця проблема могла бути використана проти версій iOS, випущених до iOS 15.7.1», – повідомила компанія цього місяця.
Ця вразливість системи безпеки неправильної автентифікації дає змогу зловмисникам обійти автентифікацію за вказівником, функцію безпеки, призначену для блокування атак, які намагаються використати помилки пошкодження пам’яті.
Apple усунула недолік, покращивши перевірки на пристроях під управлінням iOS 16.2 або новішої версії, iPadOS 16.2 або новішої версії, macOS Ventura або новішої версії, tvOS 16.2 або новішої версії та watchOS 9.2 або новішої версії.
Список пристроїв, на які впливає ця активно використовувана вада, досить широкий і стосується як старіших, так і новіших моделей. Зокрема:
1. Phone 8 і пізніші версії, iPad Pro (усі моделі), iPad Air 3-го покоління і пізніші версії, iPad 5-го покоління і пізніші версії та iPad mini 5-го покоління і пізніші версії.
2. Mac під керуванням macOS Ventura.
3. Apple TV 4K, Apple TV 4K (2-го покоління та новіші) та Apple TV HD.
4. Apple Watch Series 4 і новіших.
Хоча компанія ще не надала більше деталей про активне використання CVE-2022-48618, CISA додала цю вразливість до свого каталогу відомих використаних вразливостей.
CISA також наказала федеральним агентствам США виправити помилку до 21 лютого, як того вимагає обов’язкова оперативна директива (BOD 22-01), видана в листопаді 2021 року.
Минулого тижня Apple також випустила оновлення безпеки, щоб виправити першу в цьому році помилку нульового дня (CVE-2024-23222), яка використовувалася під час атак – проблему плутанини WebKit. Нею зловмисники могли скористатися для виконання коду на вразливих iPhone, Mac та Apple TV.
Того ж дня компанія випустила й виправлення для старих моделей iPhone та iPad для ще двох нульових днів WebKit, які відстежуються як CVE-2023-42916 і CVE-2023-42917 і були виправлені у листопаді для нових пристроїв.
Раніше ProIT повідомляв, що 50% ІТ-спеціалістів не перевіряють безпеку програм після їх випуску – опитування.
Крім того, ми писали, що опитування Broadcom показує повільний, але стабільний прогрес VSM.
Читайте також на ProIT, яким був 2023 рік для DevOps: огляд стану ринку.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!