Apple avertizează cu privire la o pereche de vulnerabilități zero-day în iOS pe care hackerii le-au exploatat în mod activ, probabil pentru a prelua controlul asupra iPhone-urilor.
Compania a lansat patch-uri pentru vulnerabilitățile necunoscute anterior, care afectează și macOS Ventura și vizează parțial WebKit, motorul folosit în browserele iOS, inclusiv Safari.
Apple a dezvăluit câteva detalii despre atacurile zero-day, ca de obicei. Dar notele de corecție spun că cercetătorii de la Google Threat Analysis Group și Amnesty International au descoperit defectele, ceea ce sugerează că hackerii care exploatează defectele ar fi vizat lucrătorii pentru drepturile omului.
Într-un tweet, cercetătorul Amnesty International Donncha Ó Cearbhaill a confirmat că vulnerabilitățile au fost găsite „în sălbăticie” și pot fi legate împreună pentru a exploata dispozitivele iOS.
Primul defect, CVE-2023-28205, implică motorul de browser Webkit. Apple spune că un hacker poate declanșa Webkit să execute cod de computer rău intenționat dacă motorul browserului este alimentat cu „conținut web creat cu răutate”.
Al doilea defect, CVE-2023-28206, implică IOSurfaceAccelerator, o componentă iOS mai obscură. Exploatarea acestui defect poate permite unei aplicații să execute, de asemenea, cod de computer rău intenționat, dar cu privilegii complete asupra software-ului sistemului.
Prin urmare, se pare că un hacker ar fi putut exploata vulnerabilitățile zero-day pentru a deturna un iPhone. Este posibil ca atacatorii să fi făcut acest lucru circulând mesaje de phishing sau site-uri web manipulate cu conținut rău intenționat.
Apple a lansat corecții pentru a proteja iPhone 8 și dispozitivele ulterioare, împreună cu iPad-urile și produsele Mac aplicabile. A fost lansată și o remediere pentru browserul Safari. Dar pe partea Mac, compania a lansat doar un patch pentru macOS Ventura, nu pentru versiuni anterioare precum Monterey sau Big Sur. Dacă defectele zero-day pot afecta aceste versiuni de software rămâne neclar.
Pentru a vă actualiza iPhone-ul, accesați Setări > General > Actualizare software. De asemenea, dispozitivul se poate actualiza automat dacă ați activat actualizările automate. Patch-urile vor ajunge prin iOS 16.4.1 și iPadOS 16.4.1.
Utilizatorii Mac își pot actualiza hardware-ul accesând pictograma meniului Apple din colțul ecranului, selectând Preferințe de sistem și selectând Actualizare software. Patch-ul vine prin macOS Ventura 13.3.1.