Η Apple κυκλοφόρησε επείγουσες ενημερώσεις ασφαλείας για την επιδιόρθωση δύο ευπαθειών zero-day του iOS που αξιοποιήθηκαν σε επιθέσεις σε iPhone.
«Η εταιρεία είναι ενήμερη για μια αναφορά ότι αυτό το ζήτημα μπορεί να έχει γίνει αντικείμενο εκμετάλλευσης», ανέφερε η Apple σε ανακοίνωση που εξέδωσε την Τρίτη.
Οι δύο ευπάθειες εντοπίστηκαν στον πυρήνα του iOS (CVE-2024-23225) και στο RTKit (CVE-2024-23296). Και οι δύο επιτρέπουν σε χάκερ να έχουν αυθαίρετες δυνατότητες ανάγνωσης και εγγραφής, παρακάμπτοντας τις προστασίες μνήμης του πυρήνα.
Η εταιρεία αναφέρει ότι αντιμετώπισε τα κενά ασφαλείας για συσκευές που εκτελούν iOS 17.4, iPadOS 17.4, iOS 16.76 και iPad 16.7.6.
Οι συσκευές της Apple που επηρεάζονται:
- iPhone XS και νεότερες εκδόσεις, iPhone 8, iPhone 8 Plus, iPhone X, iPad 5ης γενιάς, iPad Pro 9,7 ιντσών και iPad Pro 12,9 ιντσών 1ης γενιάς
- iPad Pro 12,9-ιντσών 2ης γενιάς και μεταγενέστερα, iPad Pro 10,5 ιντσών, iPad Pro 11-ιντσών 1ης γενιάς και μεταγενέστερα, iPad Air 3ης γενιάς και μεταγενέστερα, iPad 6ης γενιάς και μεταγενέστερα και iPad mini 5ης γενιάς και μεταγενέστερα
Η Apple δεν έχει αποκάλυψε ποιος ανακάλυψε τις δύο ευπάθειες zero-day. Παρόλο που η εταιρεία δεν έχει δώσει πληροφορίες σχετικά με τη συνεχιζόμενη εκμετάλλευση, οι ευπάθειες zero-day του iOS χρησιμοποιούνται συνήθως σε επιθέσεις κατασκοπευτικού λογισμικού που χρηματοδοτούνται από το κράτος εναντίον ατόμων υψηλού κινδύνου, όπως δημοσιογράφοι, πολιτικοί της αντιπολίτευσης και αντιφρονούντες.
Παρόλο που αυτές οι ευπάθειες zero-day χρησιμοποιήθηκαν πιθανότατα μόνο σε στοχευμένες επιθέσεις, η εγκατάσταση των νέων ενημερώσεων ασφαλείας το συντομότερο δυνατό συνιστάται ανεπιφύλακτα για να μπλοκαριστούν πιθανές απόπειρες επίθεσης.
Με αυτές τις δύο ευπάθειες, η Apple έχει διορθώσει τρεις zero-day μέχρι στιγμής μέσα στο 2024. Το 2023, η εταιρεία διόρθωσε συνολικά 20 ευπάθειες zero-day που είχαν γίνει αντικείμενο εκμετάλλευσης.