Spoločnosť Apple opravila závažné bezpečnostné zraniteľnosti v operačnom systéme iOS a iPadOS. Tri sú aktívne zneužívané.

Spoločnosť Apple vydala aktualizáciu, ktorá opravila aj 3 závažné zero-day zraniteľnosti, ktoré by mohli byť zneužité na kompromitáciu zariadenia vzdialeným útočníkom a vzdialené vykonávanie kódu. Zraniteľnosti sa nachádzajú v jadre operačného systému a v platforme webového prehľadávania WebKit.

Dôsledky

  • Kompromitácia zariadenia
  • Zvýšenie privilégií
  • Vykonávanie ľubovoľného kódu
  • Únik citlivých dát užívateľov

Opis činnosti
CVE-2021-1870, CVE-2021-1871, CVE-2021-1782, CVE-2021-1800

CVE-2021-1782

Závažná zero-day zraniteľnosť nachádzajúca sa v jadre operačného systému iOS spôsobuje súbeh. Pokiaľ útočník ovláda postupnosť, alebo načasovanie určitých procesov v systéme, môže docieliť vytvorenie nezabezpečeného okna a následne jeho zneužitím kompromitovať inak bezpečný systém. Útočník by mohol útok vykonať pomocou škodlivej aplikácie, ktorú si užívateľ stiahne. V prípade tejto konkrétnej zraniteľnosti Apple iOS a iPadOS by útočník mohol eskalovať svoje privilégiá a získať tak kontrolu nad zariadením obete. Zraniteľnosť ovplyvňuje produkty Iphone 6, iPad Air 2, iPad mini 4, ipad Touch 7 a novšie zaradenia spoločnosti Apple s operačným systémom iOS a iPadOS od verzie 14.2. Opravená bola vo verzii operačného systému iOS a iPad iOS 14.4.

CVE-2021-1871 a CVE-2021-1870

Závažné zero-day zraniteľnosti sa nachádzajú vo WebKit open-source platforme webového prehliadača Apple – Safari, Mail a ďalších aplikácií pre iOS a iPadOS. Vzdialený útočník by tieto zraniteľnosti mohol zneužiť navedením obete na škodlivú webstránku. To by mu umožnilo vykonať ľubovoľný kód (RCE). Zraniteľnosť ovplyvňuje produkty Iphone 6, iPad Air 2, iPad mini 4, ipad Touch 7 a novšie zariadenia spoločnosti Apple s operačným systémom iOS a iPadOS verzie 14.2. Podľa spoločnosti Apple ide o logické chyby, ktoré boli opravené vo verzii iOS a iPadOS 14.4 zlepšenými obmedzeniami.

CVE-2021-1800

Zraniteľnosť sa nachádza v operačnom systéme pre macOS verzie Catalina 10.15.4 a novších. Rovnako ako pri zraniteľnostiach iOS a iPadOS je túto zraniteľnosť možné zneužiť kompromitovanou, alebo podvrhnutou aplikáciou, ktorá bude po spustení využívať zdroje aplikácie Xcode. Útočník by tak mohol získať prístup k ľubovoľným súborom na zraniteľnom zariadení. Spoločnosť Apple chybu odstránila vylepšením overovania prístupu k súborom.

Zraniteľné systémy

  • Zariadenia od iPhone 6, iPad Air 2, iPad mini 4, iPad Touch 7 a novšie
  • Operačné systémy iOS a iPadOS verzie 14.2
  • Operačný systém macOS Catalina 10.15.4 a novšie

Závažnosť zraniteľnosti
Vysoká

Možné škody
Eskalácia privilégií
Vzdialené vykonávanie kódu
Únik citlivých informácií

Odporúčania

  • Aktualizácia operačného systému zariadení na verziu iOS a iPadOS 14.4
  • Aktualizácia operačného systému watchOS na verziu 7.3
  • Aktualizácia bezpečnostných záplat operačného systému macOS Catalina 10.15.4
  • Udržiavať zariadenia vždy aktualizované

Odkazy
https://www.zdnet.com/article/apple-fixes-another-three-ios-zero-days-exploited-in-the-wild/
https://www.welivesecurity.com/2021/01/27/apple-patches-three-ios-zero-days-under-attack/
https://thehackernews.com/2021/01/apple-warns-of-3-ios-zero-day-security.html
https://threatpost.com/apple-patches-zero-days-ios-emergency-update/163374/
https://www.darkreading.com/endpoint/apple-patches-three-ios-zero-day-vulnerabilities/d/d-id/1339992
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-apple-products-could-allow-for-arbitrary-code-execution_2021-015/