Naprawiono liczne błędy na Apple TV, zegarkach, komputerach Mac, iPadzie i iPhonie

Naprawiono liczne błędy na Apple TV, zegarkach, komputerach Mac, iPadzie i iPhonie

Apple naprawia dziesiątki luk w swoich urządzeniach

11 grudnia firma Apple udostępniła łatki łatające dziesiątki luk w zabezpieczeniach iPhone'ów, komputerów Mac, Apple TV, zegarków Apple Watch i przeglądarki Safari. Na długiej liście znalazło się 39 luk naprawionych dla systemu macOS Sonoma w wersji 14.2. Wśród nich jest CVE-2023-42914, problem z jądrem, który może pozwolić aplikacjom na wyjście z piaskownicy; CVE-2023-42894, błąd AppleEvents, który otwiera aplikacjom drzwi do kontaktów użytkownika bez autoryzacji; oraz dwa CVE specyficzne dla Safari Webkit – błąd wykonania dowolnego kodu, CVE-2023-42890; oraz błąd związany z odmową usługi, CVE-2023-42883. Poniedziałkowe aktualizacje zawierały także kilkanaście nowych poprawek w iOS i iPadOS 17.2, z czego osiem dotyczy także wersji 16.7.3. Należą do nich CVE-2023-42922, który mógł umożliwiać aplikacjom odczytywanie poufnych informacji o lokalizacji za pośrednictwem FindMy; CVE-2023-42923, umożliwiający nieuwierzytelniony dostęp do kart przeglądania prywatnego; oraz CVE-2023-42897 wykryte przez studenta Uniwersytetu w Teksasie, w którym osoba atakująca mająca fizyczny dostęp do urządzenia mogła wykorzystać Siri do uzyskania wrażliwych danych od użytkownika.

Godne uwagi luki w Apple Watch i Bluetooth

Dwie luki w zabezpieczeniach Webkit, które zostały już naprawione na iPhone'ach, iPadach i Macbookach, od 11 grudnia zostały naprawione także w zegarkach Apple Watch. CVE-2023-42916, któremu przypisano wynik CVSS na poziomie 6,5 „średni” i CVE-2023-42917 – 8,8 „wysoki” – oba „umożliwiają atakującym dostęp do poufnych informacji poprzez odczyty poza granicami i zdalne wykonanie kodu ( RCE) poprzez uszkodzenie pamięci przez złośliwe strony internetowe” – mówi Mike Walters, prezes i współzałożyciel Action1. Firma Apple zauważyła, że ​​luki te mogły zostać wykorzystane w wersjach systemu iOS wcześniejszych niż 16.7.1. „Biorąc pod uwagę poprzednią pracę badacza” – mówi Walters z analityka Google TAG odpowiedzialnego za ich odkrycie – „sugeruje to, że są one powiązane z oprogramowaniem szpiegującym lub APT. Jednak jak zwykle sprzedawca nie ujawni tej informacji.”

Inną sprawą, która ostatnio pojawia się na pierwszych stronach gazet, jest CVE-2023-45866, luka w zabezpieczeniach umożliwiająca obejście uwierzytelniania wpływająca na macOS i iOS, a także Linux i Android. Zgłoszony dostawcom na początku sierpnia i upubliczniony w zeszłym tygodniu, ten błąd CVE dotyczy tylko urządzeń Apple z włączoną funkcją Bluetooth i sparowaniem z klawiaturą Magic Keyboard. Jednak w takich przypadkach osoba atakująca na komputerze z systemem Linux wyposażonym w standardowy adapter Bluetooth może wprowadzić naciśnięcia klawiszy do docelowego urządzenia, wykonując dowolne czynności, jakie może wykonać ofiara, bez barier uwierzytelniania.

RedHat przyznał CVE-2023-45866 wynik CVSS na poziomie 7,1, nazywając go „wysokim” poziomem ważności. W serwisie GitHub ReadME badacz odpowiedzialny za odkrycie ubolewał nad ciągłymi problemami bezpieczeństwa wpływającymi na urządzenia Bluetooth. „Naprawdę nie jestem pewien, jaki typ klawiatury bezprzewodowej polecić w tym momencie” – napisał. „Jeśli to czytasz i tworzysz bezpieczną klawiaturę bezprzewodową, wyślij mi ją, abym mógł ją zhakować”.

Źródło: www.darkreading.com

Avatar photo

Sylvain Métral

J'adore les séries télévisées et les films. Fan de séries des années 80 au départ et toujours accroc aux séries modernes, ce site est un rêve devenu réalité pour partager ma passion avec les autres. Je travaille sur ce site pour en faire la meilleure ressource de séries télévisées sur le web. Si vous souhaitez contribuer, veuillez me contacter et nous pourrons discuter de la manière dont vous pouvez aider.