Link-2-Secure

Cybersecurity and data breach news

3 krytyczne luki bezpieczeństwa 0-day w urządzeniach Apple

Apple ostrzega przed 3 lukami bezpieczeństwa typu Zero-Day w iOS, które mogą być wykorzystywane do przeprowadzania ataku.

Apple we wtorek wydało aktualizacje dla systemów iOS, iPadOS i tvOS z poprawkami dla trzech luk w zabezpieczeniach, które, jak twierdzi, mogły zostać aktywnie wykorzystane do przeprowadzenia ataków.

Zgłoszone przez anonimowego badacza, trzy błędy 0-day – CVE-2021-1782, CVE-2021-1870, i CVE-2021-1871 – mogły pozwolić atakującemu na uzyskanie odpowiednich uprawnień i zdalne wykonanie kodu.

Producent iPhone’a nie ujawnił, jak szeroki był zasięg ataku, ani nie ujawnił tożsamości napastników aktywnie wykorzystujących te błędy.

O ile dokładne szczegóły dotyczące exploitów wykorzystujących te luki prawdopodobnie nie zostaną upublicznione, dopóki łatki nie zostaną szeroko zastosowane, nie byłoby niespodzianką, gdyby zostały one wykorzystane do przeprowadzenia ataków typu „watering hole” przeciwko potencjalnym celom.

Taki atak polegałby na wprowadzeniu złośliwego kodu tylko poprzez odwiedzenie zainfekowanej strony internetowej dzięki czemu, wykorzystując wspomniane wcześniej luki, możliwe byłoby uzyskanie kontroli nad urządzeniem i uruchomienie dowolnego polecenia.

Aktualizacje są już dostępne dla iPhone’a 6s i nowszych, iPada Air 2 i nowszych, iPada mini 4 i nowszych oraz iPoda touch (7 generacji), a także Apple TV 4K i Apple TV HD.