Итно: Apple издава критични ажурирања за активно експлоатирани недостатоци на нултиот ден

Apple објави безбедносни надградби за да одговори на неколку безбедносни пропусти, вклучително и две пропусти за кои рече дека биле активно искористени во дивината.

Недостатоците се наведени подолу –

• CVE-2024-23225- Проблем со оштетување на меморијата во кернелот што напаѓачот со произволна способност за читање и пишување на јадрото може да го искористи за да ја заобиколи заштитата на меморијата на јадрото
• CVE-2024-23296- Проблем со оштетување на меморијата во оперативниот систем RTKit во реално време (RTOS) што напаѓачот со произволна способност за читање и пишување на јадрото може да го искористи за да ја заобиколи заштитата на меморијата на јадрото

Во моментов не е јасно како се користат недостатоците во дивината. Apple рече дека и двете пропусти се решени со подобрена валидација во iOS 17.4, iPadOS 17.4, iOS 16.7.6 и iPadOS 16.7.6.

Ажурирањата се достапни за следните уреди –

• iOS 16.7.6 и iPadOS 16.7.6– iPhone 8, iPhone 8 Plus, iPhone X, iPad 5-та генерација, iPad Pro 9,7-инчен и iPad Pro 12,9-инчен 1-ва генерација
• iOS 17.4 и iPadOS 17.4– iPhone XS и подоцна, iPad Pro 12,9-инчен втора генерација и понова, iPad Pro 10,5-инчен, iPad Pro 11-инчен 1-ва генерација и понова, iPad Air 3-та генерација и понова, iPad 6-та генерација и подоцна, и iPad mini 5-та генерација и подоцна

Со најновиот развој, Apple се осврна на вкупно три активно експлоатирани нула дена во својот софтвер од почетокот на годината. Кон крајот на јануари 2024 година, приклучи дефект на типот на конфузија во WebKit ( CVE-2024-23222 ) што влијаеше на iOS, iPadOS, macOS, tvOS и веб-прелистувачот Safari што може да резултира со произволно извршување на кодот.

Развојот доаѓа откако U.S. Cybersecurity and Infrastructure Security Agency (CISA)   added две недостатоци на својот каталог на познати експлоатирани ранливости ( KEV ), повикувајќи ги федералните агенции да ги применат потребните ажурирања до 26 март 2024 година.

Ранливостите се однесуваат на пропуст за откривање информации што влијае на уредите Android Pixel (CVE-2023-21237) и пропуст на команда за вбризгување на оперативниот систем во Sunhillo SureLine што може да резултира со извршување на код со права на root (CVE-2021-36380).

Google, во advisory  објавен во јуни 2023 година, призна дека нашол индикации дека „CVE-2023-21237 можеби е под ограничена, насочена експлоатација“. Што се однесува до CVE-2021-36380,  Fortinet revealed кон крајот на минатата година дека ботнетот на Mirai наречен IZ1H9 го користел пропустот за да ги корал чувствителните уреди во DDoS ботнет.

Извор: thehackernews