Apple lansează actualizări pentru 2 vulnerabilități de tip Zero-Day

Apple a lansat actualizări de securitate pentru două vulnerabilități de tip Zero-Day în iOS 12.5.3, care în prezent sunt exploatate în mod activ.

Cea mai recentă actualizare, iOS 12.5.4, vine cu remedieri pentru trei vulnerabilități de securitate, inclusiv o problemă de corupere a memoriei în decodorul ASN.1 (CVE-2021-30737) și două vulnerabilități legate de motorul browserului WebKit care ar putea fi exploatat pentru executarea de cod de la distanță:

  • CVE-2021-30761 – O vulnerabilitate de corupere a memoriei, care ar putea fi exploatată pentru a ajunge la executarea arbitrară a codului atunci când se procesează conținut web malițios.
  • CVE-2021-30762 –  Use-after-free, care ar putea fi exploatată pentru a obține executarea arbitrară a de cod atunci când procesează conținut web malițios. Vulnerabilitatea a fost remediată prin gestionarea îmbunătățită a memoriei.

Atât CVE-2021-30761, cât și CVE-2021-30762 au fost raportate la Apple în mod anonim. Compania cu a declarat că este conștientă de aceste vulnerabilități. Așa cum se întâmplă de obicei, Apple nu a împărtășit niciun fel de detalii cu privire la natura atacurilor, a victimelor care ar fi putut fi vizate sau a atacatorilor.

Un lucru evident, este că încercările de exploatare au fost îndreptate împotriva proprietarilor de dispozitive mai vechi precum iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 și iPod touch (a 6-a generație).

Împreună cu cele două vulnerabilități menționate anterior, Apple a remediat un total de 12 vulnerabilități de tip Zero-Day care afectează iOS, iPadOS, macOS, tvOS și watchOS de la începutul anului:

  • CVE-2021-1782 (Kernel) – O aplicație malițioasă ar putea escalada privilegii;
  • CVE-2021-1870 (WebKit) – Un atacator poate provoca executarea arbitrară a codului de la distanță;
  • CVE-2021-1871 (WebKit) – Un atacator poate provoca executarea arbitrară a codului de la distanță;
  • CVE-2021-1879 (WebKit) – Prelucrarea conținutului web elaborat cu rea intenție poate duce la crearea de scripturi universale între site-uri;
  • CVE-2021-30657 (System Preferences) – O aplicație malițioasă poate ocoli verificările Gatekeeper;
  • CVE-2021-30661 (WebKit Storage) – Prelucrarea conținutului web elaborat cu rea intenție poate duce la executarea arbitrară a codului;
  • CVE-2021-30663 (WebKit) – Prelucrarea conținutului web creat cu rea intenție poate duce la executarea arbitrară a codului;
  • CVE-2021-30665 (WebKit) – Prelucrarea conținutului web elaborat cu rea intenție poate duce la executarea arbitrară a codului.
  • CVE-2021-30666 (WebKit) – Prelucrarea conținutului web elaborat cu rea intenție poate duce la executarea arbitrară a codului
  • CVE-2021-30713 (cadru TCC) – O aplicație malițioasă poate să ocolească preferințele de confidențialitate

Utilizatorilor de dispozitive Apple li se recomandă să actualizeze la cele mai recente versiuni pentru a atenua riscul asociat vulnerabilităților.

Sursa: https://thehackernews.com/2021/06/apple-issues-urgent-patches-for-2-zero.html

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică