Firma Apple wypuściła serię aktualizacji systemu dla różnych linii produktów, aby zapobiec skutkom dwóch nowo odkrytych dni zerowych, z których oba mogły być już wykorzystywane w środowisku naturalnym.
Poprawki CVE-2024-44308 i CVE-2024-44309 – obie przypisane Clémentowi Lecigne i Benoît Sevensowi z Google Threat Analysis Group – wpływają na urządzenia z systemami iOS i iPadOS 17.7.2 I 18.1.1, macOS Sequoia 15.1.1 i wizjaOS 2.1.1. Są także obecni w Safari 18.1.1.
CVE-2024-44308 wpływa na platformę JavaScriptCore i umożliwia ugrupowaniu zagrażającemu wykonanie dowolnego kodu, jeżeli urządzenie docelowe można zmusić do przetwarzania złośliwie spreparowanej zawartości internetowej. Według Apple istnieją doniesienia, iż był on już aktywnie wykorzystywany w systemach Mac z procesorami Intel.
CVE-2024-44309 wpływa na oprogramowanie typu open source WebKita silnik przeglądarki szeroko stosowany w ekosystemie Apple i jest opisywany jako problem z zarządzaniem plikami cookie, który umożliwił podmiotowi zagrażającemu przeprowadzenie: skrypty między witrynami (XSS) atak.
W przypadku ataku XSS osoba zagrażająca może wstawić złośliwe dane do treści z zaufanych witryn internetowych, które następnie są dołączane do treści dostarczanych do przeglądarki ofiary. Można je wykorzystywać do osiągnięcia wielu celów, w tym do kradzieży plików cookie sesji, umożliwiając podmiotowi zagrażającemu podszywanie się pod ofiarę, ale są również wykorzystywane do rozprzestrzeniania złośliwego systemu i kradzieży danych uwierzytelniających.
Ponownie istnieją doniesienia o dzikim wykorzystaniu CVE-2024-44309 przeciwko komputerom Mac z procesorami Intel.
WebKit zagrożony
Michael Covington, wiceprezes ds. strategii w Jamffirma zajmująca się zarządzaniem urządzeniami, specjalizująca się w produktach Apple, stwierdziła, iż dla obrońców bardzo ważne jest niezwłoczne zajęcie się lukami w zabezpieczeniach WebKit, biorąc pod uwagę krytyczność tego frameworka dla przeglądarki Safari.
„Poprawki dostarczone przez Apple wprowadzają silniejsze kontrole w celu wykrywania złośliwej aktywności i zapobiegania jej, a także poprawiają sposób, w jaki urządzenia zarządzają danymi i śledzą je podczas przeglądania sieci. Ponieważ osoby atakujące potencjalnie wykorzystują obie luki, niezwykle ważne jest, aby użytkownicy i organizacje stawiające na urządzenia mobilne zastosowały najnowsze poprawki tak szybko, jak to możliwe” – powiedział Covington.
CVE-2024-44309 nie jest pierwszym problemem wpływającym na WebKit zidentyfikowanym w tym roku. Pod koniec stycznia Firma Apple załatała CVE-2024-23222 – która również trafiła do amerykańskiej Agencji ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) Znane wykorzystywane luki (KEV) katalog.
Wykorzystywany również jako dzień zerowy, CVE-2024-23222 był błędem polegającym na pomyleniu typów, prowadzącym do wykonania dowolnego kodu na podatnym urządzeniu
Jak zawsze firma Apple podała kilka szczegółów na temat którejkolwiek z tych luk ani sposobu, w jaki zostały one wykorzystane. Jednak ich identyfikacja przez zespoły Google, które wcześniej pracowały nad lukami wykorzystywane przez drapieżnych komercyjnych dostawców systemu szpiegującego – takie jak zhańbiona izraelska firma NSO – może wskazywać, jakiego rodzaju ludzi mogą zainteresować te nowe wady.
Firma Apple pozostaje wyczulona na takie problemy i w szczególności w kwietniu wydała ostrzeżenie dotyczące bezpieczeństwa użytkownikom systemu iOS w ponad 90 krajach po wykryciu, iż celem ataku najemnego systemu szpiegującego który zdalnie zagrażał ich urządzeniom.
Jak zwykle użytkownicy Apple, którzy nie włączyli automatycznych aktualizacji, mogą pobrać poprawki, przechodząc do menu Ustawienia na swoim urządzeniu, następnie do Ogólne, a następnie do Aktualizacji oprogramowania.
