Apple har truffet foranstaltninger for at løse to zero-day sårbarheder opdaget i iOS, som blev aktivt udnyttet i naturen. Teknikgiganten udsendte omgående nødsikkerhedsopdateringer for at rette op på sårbarhederne.
CVE-2024-23225 og CVE-2024-23296
Anerkender alvoren af situationen, Apple udstedte en rådgivende på tirsdag, bekræfter sin bevidsthed om de rapporterede udnyttelser. sårbarhederne, identificeret som CVE-2024-23225 i iOS-kernen og CVE-2024-23296 i RTKit, givet angribere vilkårlige kernelæse- og skrivefunktioner, giver dem mulighed for at omgå vigtige kernehukommelsesbeskyttelser.
For at imødegå disse sårbarheder, Apple udrullede sikkerhedsrettelser til enheder, der kører iOS 17.4, iPadOS 17.4, iOS 16.76, og iPad 16.7.6. Disse opdateringer inkluderer forbedrede inputvalideringsmekanismer, rettet mod at forbedre enhedens sikkerhed mod potentielle trusler.
Omfanget af berørte Apple-enheder er omfattende, herunder forskellige iPhone- og iPad-modeller, inklusive iPhone XS og nyere, iPhone 8, iPhone 8 Mere, iPhone X, og flere generationer af iPads.
På trods af Apples tilbageholdenhed med hensyn til oprindelsen af zero-day-afsløringerne, det er værd at bemærke, at iOS zero-day sårbarheder ofte udnyttes i statssponsorerede spionagekampagner. Sådanne kampagner er normalt målrettet mod personer, der anses for at være højrisiko, inklusive journalister, oppositionsfigurer, og aktivister.
Selvom der ikke er nogen indikation fra Apple om igangværende udnyttelse i naturen, at installere sikkerhedsopdateringerne så hurtigt som muligt er et must. Rettidig handling er afgørende for at blokere potentielle angrebsforsøg og beskytte brugernes privatliv mod ondsindede ubudne gæster.
Det er også bemærkelsesværdigt, at denne seneste sikkerhedshændelse, der involverer CVE-2024-23225 og CVE-2024-23296, markerer det tredje tilfælde, hvor Apple adresserer nul-dages sårbarheder i 2024. Reflektere over det foregående år, Apple lappede i alt 20 nul-dages bedrifter:
- CVE-2023-42916 og CVE-2023-42917 i november
- CVE-2023-42824 og CVE-2023-5217 i oktober
- CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992, og CVE-2023-41993 i september
- CVE-2023-37450 og CVE-2023-38606 i juli
- CVE-2023-32434, CVE-2023-32435, og CVE-2023-32439 i juni
- CVE-2023-32409, CVE-2023-28204, og CVE-2023-32373 i maj
- CVE-2023-28206 og CVE-2023-28205 i april
- CVE-2023-23529 i februar
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: