Apple remediază vulnerabilitățile de tip „zero-day” printr-o actualizare iOS neprogramată

Apple a lansat actualizări out-of-band pentru ca utilizatorii de dispozitive mobile să poată aplica patch-uri de securitate pentru două vulnerabilități de tip „zero-day” care le permiteau atacatorilor să execute cod de la distanță pe dispozitivele Apple. Gigantul tehnologic din Cupertino susține că „este posibil” ca infractorii să fi exploatat deja vulnerabilitățile.

Disponibilă pentru majoritatea dispozitivelor Apple în circulație, versiunea iOS 14.5.1 (și versiunea complementară iPadOS 14.5.1) remediază o eroare critică prin care era compromisă memoria din motorul Safari WebKit, prin care „procesarea conținutului web periculos poate duce la executarea de cod arbitrar”, conform unui consilier din domeniu. Vulnerabilitatea a fost desemnată prin codul CVE-2021-30665 și a fost adusă în atenția Apple de către trei cercetători din domeniul securității, porecliți yangkang, zerokeeper și bianliang.

„Apple are cunoștință de un raport conform căruia este posibil ca această eroare să fi fost exploatată în mod activ”, spune compania.

Cea de-a doua vulnerabilitate, prezentă în același motor de navigare web de tip „open-source”, desemnată prin codul CVE-2021-30663 și raportată de un cercetător anonim, poate fi exploatată în mod similar pentru „executarea de cod arbitrar”.

Cu alte cuvinte, exploatarea reușită a oricăreia dintre cele două erori poate permite infractorilor să execute malware pe dispozitivele Apple fără patch-uri de securitate și să fure date (inclusiv parole și informații financiare), să își asume identitatea utilizatorilor prin preluarea de conturi etc.

Cum poți aplica patch-urile de securitate acum

Orice persoană care deține un dispozitiv iPhone 6s și modelele mai noi, iPad Pro (orice model), iPad Air 2 și modelele mai noi, a 5-a generație de iPad și modelele mai noi, iPad mini 4 și modelele mai noi sau iPod trebuie să instaleze această actualizare de software cât mai curând posibil.

Pentru a face acest lucru, accesează Setări ->General ->Actualizare Software pe dispozitivul tău. Așteaptă până când dispozitivul afișează actualizarea disponibilă pentru produsul tău, apoi selectează Descărcare și instalare. Asigură-te că dispozitivul tău este conectat la o sursă de alimentare sau că ai cel puțin 50% baterie înainte de a începe procesul.

Acestea nu sunt primele vulnerabilități de tip „zero-day” cu care utilizatorii Apple se confruntă în acest an

Apple a început anul 2021 cu stângul în ceea ce privește securitatea. Versiunea iOS 14.5.1 a fost lansată la exact o săptămână după ce Apple a remediat o vulnerabilitate de tip „zero-day” de pe macOS, pe care hackerii o exploatau pentru a evita sistemele de securitate integrate și pentru a instala malware fără să declanșeze principalele mecanisme de securitate Mac.

Malware-ul Shlayer a început să exploateze vulnerabilitatea pentru a permite atacatorilor să evite nivelurile de securitate Gatekeeper, Notarization și File Quarantine de pe sistemul de operare pentru desktop Apple. Vulnerabilitatea, desemnată prin codul CVE-2021-30657, a fost descoperită de cercetătorul din domeniul securității Cedric Owens. Infractorii care au exploatat vulnerabilitatea au putut rula software neautorizat prin intermediul site-urilor web compromise sau al rezultatelor infectate ale motorului de căutare. Conform declarației făcute de Dan Goodin pentru Ars Technica, cercetătorii din domeniul securității au descoperit că malware-ul Shlayer actualizat a exploatat vulnerabilitatea înainte ca aceasta să fie descoperită de Apple.

Vulnerabilitatea a fost remediată pe versiunea macOS 11.3, pe care utilizatorii sunt îndemnați să o instaleze. Selectează Preferințe de sistem din Meniul Apple, apoi selectează Actualizare software. Dacă există actualizări disponibile, apară butonul Actualizează acum pentru a le instala.

Securizează-ți dispozitivele Apple

Instalarea actualizărilor este considerată o bună practică de securitate cibernetică. Totuși, după cum am văzut în trecut, vulnerabilitățile de securitate apar chiar și atunci când credem că avem cele mai recente patch-uri de securitate aplicate. În cazul de față, versiunea iOS 14.5.1 nu a avut una, ci două vulnerabilități care au putut fi exploatate fără cunoștința companiei Apple. Același lucru se aplică în cazul utilizatorilor de produse pentru desktop, după cum s-a putut observa cu o săptămână înainte.

În ciuda aparențelor, utilizatorii Apple sunt vizați de hackeri. Bitdefender îndeamnă insistent utilizatorii de dispozitive Apple să instaleze o bază solidă de securitate pentru dispozitivele lor, folosind:

Bitdefender Mobile Security for iOS, o aplicație concepută special pentru iGizmo pentru a-ți proteja datele cu caracter sensibil împotriva atacatorilor (include VPN securizat pentru a asigura confidențialitate totală în mediul online)

Bitdefender Antivirus for Mac, cu protecție în timp real împotriva malware-ului (inclusiv ransomware), blocarea adware-ului, VPN, securitate în mediul online (în timpul navigării, efectuării de cumpărături online și de operațiuni bancare) și Protecție Time Machine, pentru copiile tale de siguranță.