Domov      Nastavenia 
RSS English Slovensky

Zahraničné zdroje
Nahlásené incidenty
1.1.2019 - 31.12.2019
 

Graf

Spoločnosť Apple vydala záplatu pre tri zero-day zraniteľnosti ovplyvňujúce rôzne druhy zariadení

12.11.2020
Bezpečnostný tím spoločnosti Google odhalil tri zero-day zraniteľnosti v zariadeniach od spoločnosti Apple. Prvá zraniteľnosť sa týka knižnice FontParser, pričom môže viesť k poškodeniu pamäte, ďalšia súvisí s eskaláciou privilégií v jadre iOS, čo umožňuje vykonávanie ľubovoľného kódu a posledná môže viesť k úniku pamäte.

 

Dôsledky

  • Poškodenie pamäte
  • Vzdialené vykonávanie kódu
  • Pretečenie pamäte jadra

Opis činnosti
CVE-2020-27930, CVE-2020-27932, CVE-2020-27950

Spoločnosť Apple vydala záplatu pre tri zraniteľnosti typu zero-day. Za nájdením a nahlásením týchto chýb stojí bezpečnostný tím Project Zero zo spoločnosti Google.

CVE-2020-27930 je kritická zraniteľnosť, ktorá môže viesť k poškodeniu pamäte. Nachádza sa v knižnici FontParser, pričom jej zneužitie umožňuje vzdialené vykonávanie kódu pri spracovávaní písma so škodlivým kódom. Tento problém bol vyriešený vylepšením overovania vstupu.

Ďalšia zraniteľnosť CVE-2020-27932 súvisí s inicializáciou pamäte. Jedná sa o chybu overovania typu premennej pred jej spracovaním, ktorá vedie ku eskalácii privilégií v jadre iOS. Útočníkom umožňuje vykonávať ľubovoľný kód s oprávneniami na úrovni jadra.

Zneužitie CVE-2020-27950 môže viesť k pretečeniu pamäte v jadre iOS. Útočníkom teda poskytuje prístup k obsahu pamäte jadra zariadenia s týmto operačným systémom.

Opravy týchto zraniteľností sú k dispozícii vo verziách iOS 14.2 a iOS 12.4.9 pre zariadenia staršej generácie, iPadOS 14.2, watchOS 5.3.9, 6.2.9 a 7.1 a v doplnkovej aktualizácii pre macOS Catalina 10.15.7. Nie je jasné, či útočníci zneužili zraniteľné miesta pri cielených útokoch alebo pri rozsiahlych kampaniach, ale je však isté, že tieto zraniteľnosti boli aktívne zneužívané.

Zraniteľné systémy

  • iOS verzie nižšej ako 14.2
  • iOS pre zariadenia staršej generácie nižšej ako 12.4.9
  • iPadOS verzie nižšej 14.2
  • macOS Catalina verzie nižšej ako 10.15.7
  • watchOS verzií nižších ako 5.3.9/6.2.9/7.1

Závažnosť zraniteľnosti
Vysoká

Možné škody
Únik informácií
Vzdialené vykonávanie kódu
Nedostupnosť zariadenia (DoS)

Odporúčania
Bezodkladná aktualizácia operačných systémov na zariadeniach od spoločnosti Apple na najnovšie dostupné verzie, ktoré obsahujú záplatu týchto zraniteľností.

Odkazy
https://www.bleepingcomputer.com/news/security/apple-patches-three-actively-exploited-ios-zero-days/
https://www.zdnet.com/article/apple-fixes-three-ios-zero-days-exploited-in-the-wild/
https://thehackernews.com/2020/11/update-your-ios-devices-now-3-actively.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Cyber+Security+Blog%29
https://www.securitynewspaper.com/2020/11/05/three-zero-day-vulnerabilities-can-be-used-in-ios-14-2-and-earlier-versions-to-spy-on-your-iphone-update-now/
https://securityaffairs.co/wordpress/110462/hacking/apple-ios-zero-days.html?utm_source=rss&utm_medium=rss&utm_campaign=apple-ios-zero-days



<< zoznam oznámení