Závažná zraniteľnosť v zariadeniach od spoločnosti Apple
Spoločnosť Apple vydala opravu zraniteľnosti CVE-2021-1844, ktorá môže viesť ku vzdialenému vykonávaniu kódu. Chyba sa týka zariadení so systémom iOS, macOS, watchOS a webového prehliadača Safari. Vyskytuje sa vo frameworku WebKit. Používateľom je odporúčané nainštalovať si najnovšie dostupné aktualizácie.
Dôsledky
- Vzdialené vykonávanie kódu
- Kompromitácia systému
- Poškodenie pamäte
Opis činnosti
CVE-2021-1844
Spoločnosť Apple vydala núdzové opravy týkajúce sa chyby poškodenia pamäte pre zariadenia so systémom iOS, macOS, watchOS a pre webový prehliadač Safari.
Závažná zraniteľnosť CVE-2021-1844 s CVSS skóre 7.7 sa vyskytuje vo frameworku WebKit. Chybu odhalili a nahlásili Clément Lecigne zo skupiny pre analýzu hrozieb spoločnosti Google a Alison Huffman z programu Microsoft Browser Vulnerability Research.
Zneužitím tejto chyby by útočník mohol byť schopný vzdialene vykonávať kód, prípadne úplne kompromitovať systém. Na zneužitie tejto chyby by musel útočník vytvoriť webovú stránku obsahujúcu škodlivý kód a nalákať obeť, aby pristúpila na túto webovú stránku. To by spustilo kód na zariadení obete. Spoločnosť Apple uvádza, že problém vyriešila „vylepšenou validáciou“.
Na opravu tejto zraniteľnosti si užívatelia musia nainštalovať najnovšie dostupné aktualizácie – macOS Big Sur 11.2.3, iOS 14.4.1, iPadOS 14.4.1, watchOS 7.3.2 a Safari 14.0.3 (pre macOS Catalina a macOS Mojave). Spoločnosť Apple neposkytla informácie o tom, či je chyba aktívne zneužívaná.
Zraniteľné systémy
- macOS Big Sur verzie nižšej ako 11.2.3
- iOS verzie nižšej ako 14.4.1
- iPadOS verzie nižšej ako 14.4.1
- watchOS verzie nižšej ako 7.3.2
- Safari verzie nižšej ako 14.0.3 (pre macOS Catalina a macOS Mojave)
Závažnosť zraniteľnosti
Vysoká
Možné škody
Vzdialené vykonávanie kódu
Odporúčania
Odporúčame bezodkladnú inštaláciu najnovších dostupných aktualizácii – macOS Big Sur 11.2.3, iOS 14.4.1, iPadOS 14.4.1, watchOS 7.3.2 a Safari 14.0.3 (pre macOS Catalina a macOS Mojave).
Odkazy
https://www.securityweek.com/apple-patches-remote-code-execution-bug-webkit
https://thehackernews.com/2021/03/apple-issues-patch-for-remote-hacking.html
https://securityaffairs.co/wordpress/115423/hacking/apple-cve-2021-1844-rce.html
https://threatpost.com/apple-webkit-remote-code-execution/164595/