Forrás: thehackernews.com
Milliárdokat érint az Apple biztonsági frissítése
Az Apple kiadott egy sürgős biztonsági frissítést az iOS, macOS, watchOS és Safari webböngésző számára, hogy kijavítson egy olyan biztonsági hibát, amely lehetővé teszi a támadók számára, hogy rosszindulatú webtartalom segítségével tetszőleges kódot futtassanak az eszközökön. A hibát a Google Fenyegetéselemző Csoportjának Clément Lecigne-je és a Microsoft Böngésző Sebezhetőség Kutatócsoportjának Alison Huffman-je fedezte fel és jelentette az Apple-nek. A hiba a CVE-2021-1844 azonosítót kapta.
Mi a hiba oka és hogyan javították ki?
A hiba egy memóriakorrupciós problémából ered, amely tetszőleges kódvégrehajtáshoz vezethet, amikor egyedien kialakított webtartalmat dolgoznak fel. A cég szerint a problémát „javított érvényesítéssel” oldották meg. A frissítés elérhető az iOS 14.4, iPadOS 14.4, macOS Big Sur és watchOS 7.3.1 (Apple Watch Series 3 és újabb) verziót futtató eszközök számára, valamint frissítésként a Safari böngészőhöz a macOS Catalina és macOS Mojave verziót futtató MacBookok számára.
Milyen veszélyekkel járhat a hiba kihasználása?
A hiba kihasználása esetén a támadók képesek lehetnek tetszőleges kódot futtatni az érintett eszközökön, ami adatlopást, zsarolóvírusok telepítését vagy más rosszindulatú tevékenységeket eredményezhet. A támadók akár át is vehetik az eszköz teljes irányítását vagy kijátszhatják a biztonsági mechanizmusokat.
Hogyan védhetjük meg magunkat?
Az Apple-felhasználóknak vagy azoknak, akik sebezhető Chrome verziót futtatnak, javasoljuk, hogy minél hamarabb telepítsék a frissítéseket, ezzel csökkentve a hibákkal kapcsolatos kockázatot. A frissítések elérhetők az eszközök beállításain keresztül vagy az Apple weboldaláról letölthetők.
Milyen más biztonsági problémák merültek fel az Apple-nél?
Ez nem az első alkalom, hogy az Apple sürgős biztonsági frissítést ad ki sebezhetőségek miatt. Januárban három nulladik napi sebezhetőségre (CVE-2021-1782, CVE-2021-1870 és CVE-2021-1871) javítottak ki, amelyek lehetővé tették egy támadó számára a jogosultságok növelését és a távoli kódvégrehajtást.
A gyengeségeket később kihasználták az „unc0ver” jailbreak eszköz mögött álló csapat által, hogy feloldjanak szinte minden egyes iPhone-modellt, amely 14.3 verziót futtat. Érdemes megjegyezni, hogy Huffman volt az is, aki felfedezett egy aktívan kihasznált nulladik napi hibát a Chrome böngészőben, amelyet a Google múlt héten javított ki. De a Chrome biztonsági hibával ellentétben nincs bizonyíték arra, hogy a CVE-2021-1844-et rosszindulatú hackerek kihasználják.
Miért fontos a biztonsági frissítések telepítése?
A biztonsági frissítések telepítése elengedhetetlen ahhoz, hogy megvédjük magunkat és eszközeinket a potenciális támadásoktól. A sebezhetőségek kihasználása nemcsak az adatok elvesztését vagy károsodását okozhatja, hanem akár jogi következményekkel is járhat, ha személyes vagy érzékeny információkat veszítenek el vagy lopnak el. A biztonsági frissítések telepítése nemcsak a saját biztonságunkat növeli, hanem segít megelőzni a rosszindulatú szoftverek terjedését is.
Hogyan tudunk értesülni az új biztonsági frissítésekről?
Az Apple rendszeresen értesíti a felhasználókat az új biztonsági frissítésekről az eszközeiken vagy e-mailben. Emellett érdemes követni az Apple weboldalát vagy a biztonsági közösség híreit, például a The Hacker News-t, hogy naprakészek legyünk a legfrissebb fejleményekről. Ha bármilyen kétségünk van a frissítések eredetiségét vagy szükségességét illetően, mindig ellenőrizzük le az Apple hivatalos forrásait.
Forrás:
https://thehackernews.com/2023/03/apple-issues-urgent-security-update-for.html
https://support.apple.com/en-us/HT201222
hieglzso