Apple lansează actualizări urgente pentru iPhone și iPad pentru a remedia o nouă vulnerabilitate de zi zero

Apple a lansat luni o actualizare de securitate pentru iOS și iPad pentru a aborda o vulnerabilitate critică despre care spune că este exploatată în natură, devenind astfel cea de-a 17-a defecțiune de zero zile pe care compania a reparat-o în operațiunile sale, produsă de la începutul anului.

Slăbiciune, atribuită identificatorului CVE-2021-30883, abordează o problemă de corupție a memoriei în componenta “IOMobileFrameBuffer” care ar putea permite unei aplicații să execute cod arbitrar cu privilegii de nucleu. Acreditând un cercetător anonim pentru raportarea vulnerabilității, Apple a spus că este „conștientă de un raport că această problemă ar fi putut fi exploatată activ”.

Specificațiile tehnice ale defectului și natura atacurilor rămân în continuare indisponibile, precum și identitatea actorului amenințării, pentru a permite majorității utilizatorilor să aplice patch-ul și să împiedice alții. Producătorul iPhone a spus că a remediat problema îmbunătățind gestionarea memoriei.

Copii de rezervă GitHub automate

Cercetător în securitate Saar Amar acțiune detalii suplimentare și o dovadă a exploatării conceptului (PoC), menționând că „această suprafață de atac este foarte interesantă, deoarece este accesibilă din sandbox-ul aplicației (deci este excelent pentru jailbreaks) și multe alte procese, făcându-l un candidat bun pentru fapte înlănțuite de LPE . “

CVE-2021-30883 este, de asemenea, a doua zi cu IOMobileFrameBuffer cu impact zero după ce Apple a abordat o problemă similară de corupție a memoriei raportată anonim (CVE-2021-30807) în iulie 2021, ceea ce ridică posibilitatea ca ambele defecte să poată fi legate. Cu cel mai recent patch, compania a rezolvat un record de 17 zile zero până în prezent doar în 2021 –

  • CVE-2021-1782 (Kernel) – O aplicație rău intenționată poate crește privilegii
  • CVE-2021-1870 (WebKit) – Un atacator la distanță poate declanșa executarea unui cod arbitrar
  • CVE-2021-1871 (WebKit) – Un atacator la distanță poate declanșa executarea unui cod arbitrar
  • CVE-2021-1879 (WebKit) – Prelucrarea conținutului web elaborat cu rea intenție poate duce la crearea de scripturi universale între site-uri
  • CVE-2021-30657 (Preferințe sistem) – Aplicația rău intenționată poate ocoli verificările Gatekeeper
  • CVE-2021-30661 (Depozitare WebKit) – Prelucrarea conținutului web elaborat cu rea intenție poate duce la executarea unui cod arbitrar
  • CVE-2021-30663 (WebKit) – Prelucrarea conținutului web elaborat cu rea intenție poate duce la executarea unui cod arbitrar
  • CVE-2021-30665 (WebKit) – Prelucrarea conținutului web elaborat cu rea intenție poate duce la executarea unui cod arbitrar
  • CVE-2021-30666 (WebKit) – Prelucrarea conținutului web elaborat cu rea intenție poate duce la executarea unui cod arbitrar
  • CVE-2021-30713 (Cadrul TCC) – Aplicația rău intenționată poate ocoli preferințele de confidențialitate
  • CVE-2021-30761 (WebKit) – Prelucrarea conținutului web elaborat cu rea intenție poate duce la executarea unui cod arbitrar
  • CVE-2021-30762 (WebKit) – Prelucrarea conținutului web elaborat cu rea intenție poate duce la executarea unui cod arbitrar
  • CVE-2021-30807 (IOMobileFrameBuffer) – O aplicație poate executa cod arbitrar cu privilegii de nucleu
  • CVE-2021-30858 (WebKit) – Prelucrarea conținutului web elaborat cu rea intenție poate duce la executarea unui cod arbitrar
  • CVE-2021-30860 (CoreGraphics) – Prelucrarea PDF-urilor elaborate cu rea intenție poate duce la executarea unui cod arbitrar
  • CVE-2021-30869 (XNU) – O aplicație rău intenționată poate să execute cod arbitrar cu privilegii de nucleu
READ  Oppo K7x - Smartphone economic cu conectivitate 5G și afișaj cu rată de reîmprospătare de 90 Hz: Gadget.ro - Stil de viață Hi-Tech

Utilizatorilor Apple iPhone și iPad li se recomandă insistent să actualizeze la cea mai recentă versiune (iOS 15.0.2 și iPad 15.0.2) pentru a atenua vulnerabilitatea de securitate.

Faci un comentariu sau dai un răspuns?

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *