Aktívne zneužívaná zero-day zraniteľnosť v Apple

Spoločnosť Apple vydala aktualizáciu pre zero-day zraniteľnosť CVE-2024-23222, ktorá môže viesť k  vykonávaniu ľubovoľného kódu. Chyba je aktívne zneužívaná.

Zraniteľné systémy:

• iPhone 8, iPhone 8 Plus, iPhone X, iPhone XS a novšie
• iPad 5. generácia,iPad Pro a iPad Pro 1. generácia, iPad Pro 2. generácia a novšie
• iPad Air 3. generácia a novšie, iPad 6. generácia a novšie, iPad mini 5. generácia a novšie
• Mac s macOS Monterey a novšie
• Apple TV HD a Apple TV 4K

Opis činnosti:

CVE-2024-23222

Zero-day zraniteľnosť CVE-2024-23222 sa nachádza vo frameworku WebKit a umožňuje útočníkovi ľubovoľné vykonávanie kódu. Chyba sa týka nedostatočného overenia typu premennej frameworku WebKit, pre webový prehliadač Safari. Úspešné zneužitie si vyžaduje, aby obeť otvorila škodlivú webovú stránku.

Zero-day zraniteľnosť je aktívne zneužívaná.

Závažnosť zraniteľnosti: Kritická

Možné škody:

• Ľubovoľné vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia tvOS 17.3, iOS 17.3 a iPadOS 17.3, macOS Sonoma 14.3, iOS 16.7.5 a iPadOS 16.7.5, Safari 17.3, macOS Ventura 13.6.4, macOS Monterey 12.7.3. alebo na najnovšiu verziu.

Odkazy:

• https://thehackernews.com/2024/01/apple-issues-patch-for-critical-zero.html
• https://www.bleepingcomputer.com/news/apple/apple-fixes-first-zero-day-bug-exploited-in-attacks-this-year/
• https://nvd.nist.gov/vuln/detail/CVE-2024-23222